Vai al contenuto
Avanet
Nuove potenti funzioni in Intercept X Advanced con EDR 3.0

Nuove potenti funzioni in Intercept X Advanced con EDR 3.0

Sophos Intercept X Advanced con EDR è all’avanguardia della cybersicurezza moderna e offre una potente rilevazione sugli endpoint e funzionalità di Deep Learning per una protezione straordinaria contro attività sospette, malware sconosciuto e ransomware.

Con la versione 3.0 sono state introdotte due funzionalità rivoluzionarie che aiutano gli amministratori ad affrontare le esigenze e le sfide quotidiane dell’IT. Queste nuove funzioni sono già disponibili per Windows 8, 8.1, 10 e Windows Server. Il supporto per Linux e Mac è previsto più avanti nel secondo trimestre.

Nota: per utilizzare le nuove funzionalità di Intercept X Advanced con EDR 3.0 è necessario avere accesso all’Early Access Program. L’Early Access Program è disponibile per chi possiede una licenza per Intercept X o Intercept X for Server. Se partecipi già all’EAP “Nuove funzionalità di Endpoint Protection e EDR”, non devi fare altro: i dispositivi riceveranno l’aggiornamento in modo automatico.

Cosa c’è di nuovo?

  • Live Discover
  • Live Response

Live Discover

Live Discover è la novità principale di Sophos Intercept X Advanced con EDR 3.0. Live Discover permette di porre domande relative alla sicurezza dei dispositivi. Per farlo utilizza sia le attività storiche sia lo stato attuale degli endpoint e restituisce le risposte direttamente. Le query possono essere semplici, come “Da quanto tempo è in funzione il dispositivo?”, oppure molto più complesse, ad esempio per individuare anomalie nel traffico di rete o scostamenti rispetto ai valori di riferimento di un dispositivo negli ultimi 30 giorni. Tutte le query vengono eseguite direttamente da Sophos Central. Tramite Central si può usare l’API in modo completo, formulare le domande e scegliere i dispositivi da interrogare. In questo modo è possibile riconoscere in anticipo le minacce potenziali.

Come funziona?

Con Live Discover è possibile usare il linguaggio SQL per porre praticamente qualsiasi domanda riguardo ai server o agli endpoint. Si può scegliere tra numerose query predefinite oppure adattarle per ottenere esattamente le informazioni desiderate. Questo approccio è utile sia nella threat hunting sia per risolvere problemi specifici dell’IT, come ad esempio:

  • Qual è il livello di performance del dispositivo?
  • Perché il dispositivo è lento?
  • Quale livello di patch è installato?
  • Quali informazioni su hardware e sistema operativo sono disponibili?
  • Quali dati e chiavi di registro sono presenti sul dispositivo e cosa è cambiato negli ultimi dieci giorni?

Oltre a modificare le query esistenti, è possibile crearne di nuove e salvarle in categorie. Live Discover offre numerose categorie, come mostrato nello screenshot seguente:

Threat Analysis Center – categorie Live Discover

Nota: nella community Sophos trovi ulteriore supporto e puoi condividere query personalizzate. Per accedere è necessario un Sophos ID.

Per eseguire una query, per prima cosa si selezionano i dispositivi da cui si vogliono ottenere le informazioni. Nello screenshot successivo è mostrato, ad esempio, il risultato di una query sui dettagli del sistema operativo:

Threat Analysis Center – Live Discover – query sui dettagli del sistema operativo

Come risposta alla richiesta, Live Discover restituisce per ogni dispositivo selezionato il nome host, il produttore della CPU, il sistema operativo, la versione dell’OS e molte altre informazioni. Le statistiche e i dati vengono elaborati localmente su ogni endpoint e poi trasmessi a Central. Se si invia una query a, per esempio, 10.000 dispositivi, il carico viene distribuito tra tutti, riducendo al minimo l’impatto sul singolo endpoint.

In che modo le nuove funzioni di “Live Discover” ti aiutano nel lavoro

Live Discover:

  • consente di selezionare più dispositivi per ogni query
  • mette a disposizione funzionalità avanzate di threat hunting
  • supporta le analisi forensi
  • offre query SQL per ottenere maggiori dettagli
  • fornisce dati storici – dal giorno corrente fino a 90 giorni nel passato
  • scala facilmente fino a migliaia di dispositivi
  • contiene dettagli su patch, versioni dell’OS, grafica e memoria
  • ha accesso agli eventi di sistema
  • tiene traccia di tutti i processi – passati e presenti
  • permette di esaminare le modifiche nel registro
  • fornisce informazioni sugli accessi degli utenti

Live Response

Live Response è un’altra funzionalità molto utile di Sophos Intercept X con EDR 3.0 che molti amministratori apprezzeranno. Consente di accedere in remoto, da qualsiasi luogo, ai dispositivi dell’ambiente. Non si tratta di una sessione desktop remota completa, ma di una connessione sicura alla riga di comando, gestita tramite Sophos Central nel browser. Sophos Central funge da terminale per collegarsi al dispositivo selezionato. Questo permette di condurre analisi di sicurezza approfondite sul dispositivo o di reagire in tempo reale a una minaccia attiva.

Come funziona?

Prima di avviare una sessione Live Response, è necessario abilitare l’impostazione corrispondente in Sophos Central. Solo gli account con privilegi di super admin e autenticazione a due fattori (2FA) possono modificare questa opzione.

Impostazioni globali – Live Response

Una volta abilitata Live Response nelle impostazioni globali, i super admin possono avviare una sessione shell per qualsiasi computer o server gestito in Central. A quel punto si possono eseguire tutti i comandi che normalmente verrebbero lanciati localmente sulla macchina, ad esempio ipconfig per verificare l’indirizzo IP del dispositivo o il comando reg per visualizzare, modificare o eliminare le chiavi di registro. È anche possibile cercare, visualizzare o cancellare file.

Live Response – riga di comando

Nota: al momento, anche qui sono supportati solo computer Windows e Windows Server. Il supporto per Linux e Mac arriverà più avanti.

Sophos Central fornisce una connessione sicura ai vostri dispositivi. Non è necessario aprire porte aggiuntive per questo. Come già accennato, le sessioni Live Response possono essere avviate solo da super admin con autenticazione a due fattori attiva. Inoltre, ogni connessione Live Response viene registrata nel log di audit, così è sempre possibile verificare quando una sessione è stata avviata e interrotta.

Cosa offre Live Response

  • accesso remoto ai vostri dispositivi da qualsiasi parte del mondo
  • possibilità di riavviare i dispositivi in attesa di un aggiornamento
  • modifica delle chiavi di registro
  • ricerca nei file
  • eliminazione dei file
  • avvio di programmi e script
  • aiuto nell’individuare ed eliminare attività sospette
  • possibilità di esaminare tutti i processi in esecuzione e terminarli in qualsiasi momento
  • installazione e disinstallazione di software
  • avvio di strumenti forensi
  • accesso completo al sistema

Provate subito Sophos Intercept X con EDR 3.0

Per farvi un’idea diretta di Live Discover e Live Response, vi basta aderire all’EAP (Early Access Program) “Nuove funzionalità di Endpoint Protection e EDR”. È necessaria almeno una licenza valida per Intercept X o Intercept X Advanced for Server.

Se non hai ancora un account Sophos Central, puoi registrarti sul sito Sophos e provare tutte le funzionalità, incluso “Sophos Intercept X con EDR 3.0”, gratuitamente per 30 giorni.

Se hai già un account Sophos Central e il periodo di prova di 30 giorni è terminato, puoi acquistare una licenza per “Sophos Intercept X” o “Intercept X Advanced for Server” dal nostro sito e in seguito partecipare all’EAP:

David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.