通过Rapid7的MDR服务，DAMAC属性看到了即时价值，并获得了24/7 SOC覆盖

挑战

达马克建立了新的安全功能, the 4-person security team faced a number of challenges; the biggest being visibility into DAMAC’s environment encompassing numerous mobile applications, 包括面向客户和内部, 以及包括销售在内的一系列用户, crm和业务用户. 迁移到云端并采用新的系统和api增加了额外的复杂性.

解决方案

达马克选择了Rapid7的管理检测和响应服务. “我们以一个小团队和有限的预算开始新事物,Jeevan Badigari解释道, 首席信息安全官. “我们想要的不是工具，也不仅仅是服务. 我们希望两者兼得. 这就是Rapid7的优势所在.Rapid7 MDR服务使达马克的安全团队能够专注于治理, 保证, 以及技术功能, 包括DLP, 终端安全, 电子邮件安全.

第一步:综合风险评估

达马克首先进行了完整的风险评估，以确定安全漏洞. 在安全和业务目标之间建立正确的一致性是至关重要的, 回答如下问题:安全如何影响我们的业务目标? 哪些系统对我们的业务很重要，需要全天候运行? 我们如何确保这些系统是安全的?

DAMAC新的强大安全计划的关键部分是确保与IT团队保持一致. “随着我们引入越来越多的安全变化, 新部署, 实现和计划, 我们优先考虑与IT团队合作，使他们能够安全地执行他们的计划,Jeevan Badigari指出, 首席信息安全官. “我们希望促进与他们的伙伴关系，以便整个组织能够以整体的方式解决安全问题.”

只有一家供应商提供经过验证的产品和托管服务

达马克应用了NIST的框架，看看公司在五个支柱上站在哪里——识别, 保护, 检测, 回应, 和恢复. 它强调发现和反应是达马克最关键的需要. 他们想要的不仅仅是SIEM作为一种服务，并为MDR提供商起草了需求. “我们的主要要求是，它需要成为一个具有我们组织所有最关键功能的平台, 包括威胁情报, 威胁狩猎, 网络流量分析,巴迪加里解释道.

Badigari过去有过实现SIEM的经验, 因此，他寻找一种云交付的方式来满足达马克的需求. “我们想把重点放在大海捞针上, 而不是将资源用于管理整个SIEM平台或专注于微调流程.” 

立即实现价值

Rapid7 MDR SOC依赖于Insight Agent, 一个安装在资产上的轻量级但功能强大的软件，用于收集整个环境中的端点数据. 它为SOC提供了实时性, 关键可见性，使他们能够检测攻击者的行为，并采取措施遏制发现的威胁. 

DAMAC在评估耐多药成功与否时所关注的一个关键点是实施所需的时间. 一旦他们安装了洞察特工, 安全团队对整个环境具有完全的可视性. Badigari指出:“我们在不到一个月的时间里就开始使用Rapid7. “我们的账户已经完全设置好了，我们收到了数据. 集成很容易，因此实现价值的时间很快.” 

有更多背景的可操作见解

使用MDR, DAMAC收到的误报警报更少，并且在门户中所有内容都清晰可见. “我们在更多的背景下看到了可操作的见解，这使团队更有效,巴迪加里继续说道. Rapid7团队在提供我们所需的反馈方面做得很好.” 

MDR包括数千个预先构建的检测来识别入侵者活动, 减少误报，使分析师能够提醒客户注意真正的威胁. 在向客户报告任何警报之前，所有潜在的恶意检测都由Rapid7的SOC分析团队手动验证. “因为MDR是一个托管服务，所以我不必担心检测规则. 我可以确信，有一个团队正在根据不断变化的威胁情况不断添加检测规则.”

随着攻击者的进化和新威胁的发现, Rapid7为现有和新出现的威胁开发签名和检测. 这些检测确保覆盖恶意行为者在野外使用的各种ioc, 被1人以上告知.通过Rapid7的检测和响应平台每周观察2万亿个安全事件. 

集成和报告

DAMAC还将轻松的云集成和可见性视为MDR的主要优势. “由于Rapid7 MDR是云原生的, 连接Office 365等其他系统非常容易, Azure AB, 和销售团队. 环境的可见性为我们提供了仪表板上的关键数据. 如果我的主席想知道我们面临的威胁是什么, 我们做得怎么样, 我们打开控制台，给他看关键数据. 这些是我们真正的成功标准.”

高级威胁情报

达马克武器库中的另一个有效工具是Rapid7的威胁命令, 一种高级的外部威胁情报工具，用于发现和减轻针对组织的威胁, 员工, 和客户. “由于我们的业务性质，我们与直接和间接销售代理合作. Rapid7威胁命令帮助我们关闭了许多网络钓鱼网站和假冒移动应用程序. 这些行动大大减少了风险.”

除了收入损失, 假冒网站和移动应用程序对DAMAC的b谷歌SEO排名和流量产生了负面影响, 因此，它的品牌声誉. Rapid7使我们能够识别和删除这些实例，有助于增强客户的信心.”

单一供应商的力量

总之, Badigari向该领域的同行提供了一个建议:寻找来自一个供应商的集成服务包，因为供应商整合确实有好处. “一个供应商、一种技术或一个平台更容易管理，而且很有效. Rapid7的产品组合中有很多产品. 在Rapid7中，重点不再是EPS，而是设备. 明天我可以扩大或缩小数据规模，这不会影响我们的服务.”