Ir al contenido
Avanet
Nuevas y potentes funciones en Intercept X Advanced con EDR 3.0

Nuevas y potentes funciones en Intercept X Advanced con EDR 3.0

Sophos Intercept X Advanced con EDR se sitúa a la vanguardia de la ciberseguridad moderna y ofrece una detección de endpoints muy potente y capacidades de Deep Learning para proteger de forma sobresaliente frente a actividades sospechosas, malware desconocido y ransomware.

Con la versión 3.0 se han incorporado dos funciones revolucionarias que ayudan a los administradores a gestionar las exigencias y desafíos diarios de TI. Estas nuevas funciones ya están disponibles para Windows 8, 8.1, 10 y Windows Server. El soporte para Linux y Mac está previsto para más adelante en el segundo trimestre.

Nota: para utilizar las nuevas funciones de Intercept X Advanced con EDR 3.0 se necesita acceso al Early Access Program. El Early Access Program está disponible para cualquier entorno con licencia de Intercept X o Intercept X for Server. Si ya se ha inscrito en el EAP “Nuevas funciones de Endpoint Protection y EDR”, no necesita hacer nada más; los dispositivos recibirán la actualización de forma automática.

¿Qué hay de nuevo?

  • Live Discover
  • Live Response

Live Discover

Live Discover es la función más reciente e importante de Sophos Intercept X Advanced con EDR 3.0. Live Discover permite plantear preguntas sobre cuestiones de seguridad relacionadas con los dispositivos. Para ello utiliza tanto la actividad histórica como el estado actual de los endpoints y proporciona respuestas directas. Las consultas pueden ser tan simples como “¿Cuánto tiempo lleva encendido este dispositivo?” o mucho más complejas, por ejemplo para detectar anomalías en el tráfico de red o desviaciones respecto a valores base en un dispositivo durante los últimos 30 días. Todas estas consultas se ejecutan directamente desde Sophos Central. Se puede usar por completo la API de Central, formular preguntas y elegir los dispositivos a consultar. De este modo se pueden detectar amenazas potenciales con antelación.

¿Cómo funciona?

Con Live Discover se pueden utilizar consultas SQL para plantear prácticamente cualquier pregunta sobre servidores o endpoints. Es posible elegir entre una amplia colección de consultas predefinidas o adaptarlas para que devuelvan exactamente la información que se necesita. Esto resulta útil tanto para la búsqueda proactiva de amenazas como para resolver cuestiones específicas de TI, por ejemplo:

  • ¿Cómo es el rendimiento del dispositivo?
  • ¿Por qué va lento mi dispositivo?
  • ¿Qué nivel de parches tiene instalado el dispositivo?
  • ¿Qué información de hardware y sistema operativo está disponible?
  • ¿Qué datos y entradas de registro existen en el dispositivo y qué ha cambiado en los últimos diez días?

Además de adaptar las consultas existentes, se pueden crear consultas SQL completamente nuevas y guardarlas por categorías. Live Discover ofrece numerosas categorías, como se aprecia en la siguiente captura de pantalla:

Threat Analysis Center: categorías de Live Discover

Nota: en la comunidad de Sophos se encuentra ayuda adicional y se pueden compartir consultas personalizadas. Para acceder se necesita un Sophos ID.

Para iniciar una consulta, primero se seleccionan los dispositivos de los que se quiere obtener información. En la siguiente captura de pantalla se muestran los resultados de una consulta sobre detalles del sistema operativo:

Threat Analysis Center – Live Discover – consulta de detalles del sistema operativo

Como respuesta, Live Discover muestra para cada dispositivo seleccionado el nombre de host, el fabricante de la CPU, el sistema operativo, la versión del sistema y otra información adicional. Las estadísticas y datos se recopilan en cada endpoint y se envían posteriormente a Central. Si se envía una consulta a, por ejemplo, 10 000 dispositivos, la carga se distribuye entre todos ellos, de manera que el impacto sobre cada equipo individual es mínimo.

Cómo le ayudan las nuevas funciones de “Live Discover”

Permite:

  • seleccionar varios dispositivos por consulta
  • mejorar las capacidades de búsqueda proactiva de amenazas
  • apoyar análisis forenses
  • utilizar consultas SQL para obtener más detalles
  • acceder a datos históricos (desde el día actual hasta 90 días atrás)
  • escalar sin problemas a miles de dispositivos
  • consultar detalles sobre parches, versiones de sistema operativo, gráficos y memoria
  • acceder a eventos del sistema
  • revisar todos los procesos, tanto actuales como pasados
  • comprobar cambios en el registro
  • ver información sobre inicios de sesión de usuarios

Live Response

Live Response es otra función muy útil de Sophos Intercept X con EDR 3.0 que la mayoría de administradores apreciará rápidamente. Permite acceder de forma remota, desde cualquier lugar del mundo, a los dispositivos de la propia red. No se trata de una sesión de escritorio remoto tradicional, sino de una conexión segura a la línea de comandos controlada desde Sophos Central en el navegador. Sophos Central actúa como terminal para conectarse al equipo deseado. Esto permite llevar a cabo investigaciones de seguridad detalladas en un dispositivo o reaccionar en tiempo real ante una amenaza activa.

¿Cómo funciona?

Antes de iniciar una sesión de Live Response, hay que habilitar el ajuste correspondiente en Sophos Central. Solo las cuentas de superadministrador que se autentican mediante 2FA pueden activar esta opción.

Ajustes globales – Live Response

Una vez habilitada la función en los ajustes globales, las personas con rol de superadministrador pueden iniciar una shell para cualquier equipo o servidor gestionado desde Central. A continuación se pueden ejecutar los mismos comandos que se utilizarían localmente en la máquina, por ejemplo ipconfig para consultar la dirección IP del dispositivo o el comando reg para mostrar, modificar o eliminar claves de registro. También es posible buscar, mostrar o eliminar archivos.

Live Response – línea de comandos

Nota: por el momento, aquí también solo se admiten equipos Windows y Windows Server. La compatibilidad con Linux y Mac llegará más adelante.

Sophos Central proporciona una conexión segura a los dispositivos. No es necesario abrir puertos adicionales para ello. Como ya se ha mencionado, las sesiones de Live Response solo pueden iniciarlas cuentas de superadministrador con autenticación de dos factores activada. Además, cada conexión de Live Response queda registrada en el log de auditoría, por lo que siempre es posible ver cuándo se inició y se cerró una sesión.

Qué ofrece Live Response

  • acceso remoto a sus dispositivos desde cualquier lugar del mundo
  • posibilidad de reiniciar dispositivos que están pendientes de una actualización
  • edición de claves del registro
  • búsqueda en archivos
  • eliminación de archivos
  • ejecución de programas y scripts
  • ayuda para detectar y eliminar actividades sospechosas
  • posibilidad de revisar todos los procesos en ejecución y finalizarlos cuando sea necesario
  • instalación y desinstalación de software
  • ejecución de herramientas forenses
  • acceso completo al sistema

Pruebe ahora Sophos Intercept X con EDR 3.0

Para hacerse su propia idea de Live Discover y Live Response, basta con unirse al EAP (Early Access Program) “Nuevas funciones de Endpoint Protection y EDR”. Es necesario disponer al menos de una licencia válida de Intercept X o Intercept X Advanced for Server.

Si todavía no tiene una cuenta de Sophos Central, puede registrarse en la web de Sophos y probar todas las funciones, incluida “Sophos Intercept X con EDR 3.0”, de forma gratuita durante 30 días.

Si ya dispone de una cuenta de Sophos Central y el periodo de prueba de 30 días ha finalizado, puede adquirir una licencia de “Sophos Intercept X” o “Intercept X Advanced for Server” a través de nuestra web y, a continuación, participar en el EAP:

David

David

David es responsable del contenido, la estructura y la implementacion digital en Avanet. Su enfoque consiste en presentar temas tecnicos complejos de forma clara, precisa y orientada a buscadores.