Home
Mächtige neue Funktionen in Intercept X Advanced mit EDR 3.0
Sophos Central

Mächtige neue Funktionen in Intercept X Advanced mit EDR 3.0

David - June 2, 2020

Sophos Intercept X Advanced mit EDR steht an vorderster Front moderner Cybersecurity und verfügt über eine enorm starke Endpoint-Erkennung und ein Deep Learning für äusserst herausragenden Schutz gegen verdächtige Aktivitäten, unbekannte Malware und Ransomware.

Mit der Version 3.0 wurden zwei bahnbrechende Funktionen implementiert, welche Admins eine grosse Hilfe sein werden, um die täglichen Anforderungen und Herausforderungen der IT zu bewältigen. Diese neuen Funktionen gibt’s schon für Windows 8, 8.1, 10 sowie Windows Server. Die Unterstützung für Linux und Mac sollen später im zweiten Quartal folgen.

Hinweis: Um die neuen Funktionen von Intercept X Advanced mit EDR 3.0 verwenden zu können, benötigt ihr Zugang zum Early Access Program. Das Early Access Program ist für alle zugänglich, die entweder Intercept X oder Intercept X for Server lizenziert haben. Wenn ihr euch bereits für das EAP „Neue Endpoint Protection und EDR-Funktionen” angemeldet habt, dann braucht ihr nichts weiter zu unternehmen. Eure Geräte bekommen das Update dann automatisch.

Was ist neu?

  • Live Discover
  • Live Response

Live Discover

Live Discover ist das neueste und wichtigste Feature von Sophos Intercept X Advanced mit EDR 3.0. Live Discover bietet euch die Möglichkeit, Fragen zu Sicherheitsbedenken von Geräten zu stellen. Dafür erhält Live Discover Zugang zu bereits vergangenen Aktivitäten und den derzeitigen Zustand eurer Geräte, um dann direkt Antworten zu erhalten. Das kann eine simple Abfrage á la „Wie lang läuft das Gerät schon?“ sein. Aber es kann auch weitaus komplexere Abfragen bearbeiten, wie zum Beispiel das Erkennen von Abweichungen in der Netzwerkkommunikation oder von Standardwerten einzelner Geräte innerhalb der letzten 30 Tage. Alle diese Abfragen könnt ihr direkt über Sophos Central ausführen. Ihr seid in der Lage, über Central die API vollumfänglich zu nutzen, Fragen zu stellen und das Gerät auszuwählen, dem ihr sie stellen möchtet. Durch diese Methode könnt ihr Bedrohungen, die eventuell auf euch zukommen, frühzeitig erkennen.

Und wie funktioniert’s?

Mit Hilfe von Live Discovery könnt ihr mittels SQL jede Frage stellen, die ihr zu euren Servern oder Endpoints habt. Ihr könnt euch aus einer Vielzahl von vordefinierten Fragen entweder welche rauspicken oder sie so bearbeiten, dass sie exakt die Informationen liefern, die ihr haben wollt. Dies kann dann bei der Jagd nach Bedrohungen oder dem Lösen von IT spezifischen Abfragen helfen, wie etwa:

  • Wie ist die Performance des Gerätes?
  • Warum läuft mein Gerät langsam?
  • Welcher Patch läuft auf dem Gerät?
  • Welche Hardware und welche Betriebssysteminfos stehen auf dem Gerät zur Verfügung?
  • Was für Daten und welche Registry-Einträge sind auf meinem Gerät vorhanden? Wurde irgendwas in den letzten 10 Tagen daran verändert?

Neben dem Bearbeiten einer vorhandene Abfrage, habt ihr auch die Möglichkeit, eine komplett eigene SQL Abfragen zu erstellen und diese in einer Kategorie zu speichern. Es gibt zahlreiche Kategorien in Live Discover, die ihr auf dem folgenden Screenshot sehen könnt:

Hinweis: In der Sophos Community findet ihr zusätzliche Unterstützung und könnt euch über selbstgeschriebene Queries austauschen . Für den Zugang wird allerdings eine Sophos ID benötigt.

Um eine Abfrage zu starten, wählt ihr zuerst die Geräte aus, von denen ihr gewisse Informationen benötigt. Im unteren Screenshot seht ihr zum Beispiel das Resultat einer Abfrage diverser Betriebssysteminformationen:

Als Antwort auf diese Anfrage präsentiert euch Live Discover, für alle ausgewählten Geräte, den Hostnamen, den Namen des CPU Herstellers, das Betriebssystem und die OS-Version und vieles mehr. Die Statistiken und Daten werden dabei auf jedem einzelnen Gerät, welches ihr vor der Abfrage ausgewählt habt, aufbereitet und an Central übermittelt. Schickt ihr eine Abfrage an Beispielsweise 10.000 Geräte, so wird die Last auf alle diese Geräte verteilt, was wiederum bedeutet, dass die Auslastung auf einem einzelnen Gerät minimal ausfällt.

So helfen euch die neuen Funktionen von „Live Discover“ bei euren Aufgaben:

Es…

  • erlaubt euch die Auswahl mehrerer Geräte für Abfragen
  • stellt erweiterte Funktionen bei der Jagd nach Bedrohungen bereit
  • hilft bei forensischen Analysen
  • bietet SQL-Abfragen für mehr Details
  • stellt historische Daten zur Verfügung – Vom derzeitigen Tag bis hin zu 90 Tagen in die Vergangenheit
  • skaliert mit mehreren tausenden von Geräten
  • enthält Details über Patches, OS Versionen, Video- und Speicherinformationen
  • hat Zugriff auf Systemevents
  • hat Informationen über alle Prozesse – die einmal liefen und gerade laufen
  • bietet Zugang zur Einsicht von Änderungen in der Registry
  • Liefert Informationen über Nutzerzugänge

Live Response

Live Response ist ein anderes geniales Feature von Sophos Intercept X mit EDR 3.0, das ihr mit Sicherheit lieben werdet. Es erlaubt Admins, von überall auf der Welt Live per Fernschaltung auf alle Geräte in eurer eigenen Umgebung zuzugreifen. Damit ist jetzt keine direkte Remote-Session mit Bild gemeint, sondern mehr ein sicherer Zugang zur Kommandozeile, die ihr über Sophos Central im Browser bedienen könnt. Sophos Central fungiert hier als Terminal um das gewünschte Gerät anzusteuern. Das gibt euch die Möglichkeit, detaillierte und sicherheitsrelevante Untersuchungen an einem Gerät vorzunehmen oder in Echtzeit auf eine Bedrohung zu reagieren.

Und wie funktioniert’s?

Bevor man die Live Response Session starten kann, muss erst eine entsprechende Einstellung in Sophos Central vorgenommen werden. Die Berechtigung dafür haben aber nur Super-Admin Accounts, die sich ausserdem per 2FA authentifiziert haben.

Sobald Live Response in den globalen Einstellungen aktiviert wurde, könnt ihr als Super-Admin eine Shell starten und zwar für jeden Computer oder Server, welchen ihr in Central verwaltet. Hier kann man nun alle möglichen Befehle verwenden, die ihr auch physisch direkt auf der Maschine ausführen könntet. Zum Beispiel "iponfig", um die IP-Adresse des gewählten Gerätes zu überprüfen, oder den "reg" Befehl, um euch die Registry Keys anzeigen zu lassen, sie zu verändern oder zu löschen. Ihr könnt auch Dateien durchsuchen, anzeigen lassen oder löschen.

Hinweis: Im Moment werden auch hier nur Windows Computer oder Windows Server unterstützt. Linux und Mac Support wird später noch folgen.

Sophos Central bietet eine sichere Verbindung zu eurem Gerät. Ihr müsst keine Ports eigens dafür öffnen. Wie anfangs bereits erwähnt, können Live Response Sessions nur von Super-Admins mit einer Zwei-Faktor-Authentifizierung gestartet werden. Zudem wird jede Live Response Verbindung im Audit-Protokoll erfasst und es ist jederzeit nachvollziehbar, wann eine Session gestartet und gestoppt wurde.

Das bietet Live Response:

  • Zugang per Fernschaltung auf eure Geräte von überall auf der Welt
  • Geräte, die ein Update erwarten, können neu gestartet werden
  • Registry-Keys bearbeiten
  • Dateien durchsuchen
  • Dateien Löschen
  • Programme und Skripte starten
  • Hilfe beim Aufspüren und Beseitigen von fragwürdigen Aktivitäten
  • Alle laufenden Prozesse durchsuchen – Und jederzeit beenden
  • Software Installation und Deinstallation
  • Forensische Tools starten
  • Voller Systemzugriff

Sophos Intercept X mit EDR 3.0 jetzt ausprobieren!

Um euch selbst ein Bild von Live Discover und Live Response zu machen, könnt ihr einfach dem EAP (Early Access Programm) „Neue Endpoint Protection und EDR-Funktionen” beitreten. Dazu braucht ihr mindestens eine gültige Lizenz für Intercept X oder Intercept X Advanced für Server.

Wenn ihr noch keinen Sophos Central Account habt, könnt ihr euch auf der Sophos Webseite einen erstellen und alle Funktionen, inklusive "Sophos Intercept X mit EDR 3.0", kostenlos 30 Tage lang testen.

Falls ihr einen Sophos Central Account besitzt und die 30 Tage Testlaufzeit bereits abgelaufen sind, könnt ihr euch entweder eine Lizenz für "Sophos Intercept X" oder "Intercept X Advanced für Server" über unsere Webseite bestellen und dann vom EAP profitieren:

Senden Sie Ihr Feedback

Teilen Sie uns Ihre Gedanken zu diesem Artikel mit, Ihre persönlichen Rückfragen sind immer willkommen und werden sehr geschätzt.

Feedback senden
Alle Informationen sind vertraulich
Newsletter

Auf unserem Blog publizieren wir regelmässig Artikel über diverse Themen rund um Sophos. Damit du keinen Artikel verpasst, kannst du dich in unseren Newsletter eintragen und bekommst einmal pro Monat eine Zusammenfassung aller Artikel der letzten 30 Tage per E-Mail zugestellt.

Knowledge Base

Du brauchst Hilfe zu einem Sophos Produkt? Dann kann dir vielleicht unsere kostenlose Knowledge Base weiterhelfen. Wir versuchen, die meisten Supportanfragen in einem Artikel zu dokumentieren, um möglichst vielen Menschen damit zu helfen.