“少用工具，多用工具”：KinderCare通过Rapid7避免了工具的泛滥，实现了投资回报率的最大化，提高了效率

事半功倍

安德森的指导思想之一是“少用工具，多用工具”。.  Anderson believes that if you pick strong tools 和 use them to their maximum capability you will get more value out of your investments 和 need less tools; this also helps to avoid tool sprawl.  在回顾了几个不同的平台和工具之后, Anderson和他的团队选择了Rapid7 Insight 平台.  他们认为Rapid7平台最符合安德森的理念，它也将为KinderCare提供一个快速实现价值的时间.

“Rapid7拥有如此紧密的生态系统. 你不需要几十种工具，每种工具你只使用了20%。. “如果你得到了非常好的工具，并且使用了99%，你就不需要那么多工具! Rapid7内置了很多现成的内容.”

从其他系统轻松收集数据并迅速将其转化为环境中正在发生的行为所带来的直接价值，使安德森很容易说服公司做出改变.  在六个月内，他的团队淘汰了几个旧工具.

快进到满满一盘

今天, KinderCare使用Rapid7的Managed Detection 和 Response （MDR）服务, 以及InsightVM, InsightConnect, 和InsightAppSec. They didn’t intend to necessarily go “all in” with the Rapid7 ecosystem; however, 安德森承认，利用生态系统的好处是有道理的.

• MDR：“我们添加了MDR，因为我们想要全天候覆盖，”安德森分享道. “我不得不替换我们现有的解决方案，因为它不能100%满足我们的需求. 我们在Rapid7 MDR服务中感受到这一点, 利用他们自己的insighttidr, 我们会得到更高的值, 我们是对的.”

所以即使幼儿园计划只使用MDR一年, 他们选择续约——满怀热情地续约. “我们希望一年之后, 我们将有能力提供更好的全天候服务. 但我们决定保留MDR，因为我们对它非常满意，”他透露. “与MDR团队的人一起工作非常出色. 他们帮了很大的忙. 所以，我们决定要保持全天候的覆盖.”

• insighttidr：安德森可能是MDR的粉丝, 但是insighttidr——为MDR服务提供动力的底层SIEM解决方案——才是他的核心所在. 如果MDR客户不愿意，他们不必在insighttidr中动手, 但安德森很欣赏这种“亲力亲为”的方式.
  
  “insighttidr是我的面包和黄油，”他笑着说，把它比作一站式商店. “这是我们唯一的一块玻璃. 它连接到你能想到的每一个数据源——不同的域控制器, 我们的AWS和Azure业务, 我们的端点保护系统, 我们的电子邮件安全平台, 一切. 我们要尽可能地巩固和集中一切.”

安德森随后分享了他是如何在insighttidr中创建一系列仪表板的，这些仪表板提供了他所有不同工具和服务的“概览”——一种他每天早上运行的健康检查.

“我喜欢Rapid7总是策划新的检测和更新他们的平台. 这样我就不用做那件事了. 他们有很多我们用的insighttidr警报. 我可以自己创建，但Rapid7已经在这方面做得很好了。. 然后他估计，对于99%或更多的警报，他相信Rapid7不仅可以创建警报，还可以改进警报.

• InsightVM: KinderCare使用InsightVM来支持他们的漏洞管理程序. 他们进行定期扫描，并使用InsightVM的报告来帮助确定补丁的优先级. “任何时候，我们看到的关键漏洞可能与补丁无关，而是与配置有关, 我们与合适的团队合作,他解释道，“我们正在创建一个完整的项目，这在我刚开始的时候是不存在的。.” 

安德森喜欢他们对自己的弱点有一个全面的了解, 你可以用一种有用的方式来报道它们. “InsightVM创建的修复报告侧重于修复任务，而不是漏洞日志列表.  我们可以很容易地把这些报告交给其他团队，而不会让他们不知所措.  之前，我们只有CSV或Excel的漏洞列表，没有任何修复的细节，这将很快压倒其他团队，最终导致什么也没做.”

• InsightConnect: As part of their package with InsightIDR 和 InsightVM; KinderCare also received InsightConnect, Rapid7安全编排自动化和响应（SOAR）包.  Anderson和他的团队已经开始利用InsightConnect将他们的Rapid7平台与他们使用的其他工具（如Slack和ServiceNow）集成在一起，以创建自动化的工作流，从而节省了过去需要手动完成的任务的时间.

最喜欢的功能

当被问及他最喜欢的功能之一时, 安德森毫不犹豫地引起了人们对insighttidr功能——日志搜索的关注. “insighttidr中的日志查询是惊人的, 特别是感谢已添加的最新功能. 它使调查事物和执行这些查询的速度变得如此容易，”他笑着说. “当我不得不在旧平台上这样做时, 我真的会设置它运行一个查询，然后去买一杯咖啡. 有时调查一些简单的事情要花费我几个小时. insighttidr是闪电般的速度. 它真的减少了我花在这上面的时间, 因为我可以很快地访问和处理这些数据.”

安德森经常利用的另一件事是调查, 这是他每天都要处理的东西. “我喜欢它让调查完全独立的方式. 你可以给它们添加额外的数据，你可以在它们中添加注释. 这使得我们可以很容易地在一个地方进行管理，”他分享道. “我们不需要将所有内容发送到外部票务系统，并通过该系统进行管理. 它完全独立于产品中，这很好.” 

智慧之语

结束我们的谈话, Anderson provided some advice for people who are looking for a threat analytics platform or looking for a SIEM that they can get more value out of; “I’ve worked with a lot of different products that operate in the SIEM or security information event management space. Rapid7所做的是独一无二的. insighttidr已经可以做你需要它做的事情，”他认为. “所有的检测逻辑都是内置的，它让一切变得简单. 我强烈建议您尝试一下.”