Nuove potenti funzioni in Intercept X Advanced con EDR 3.0
Sophos Intercept X Advanced con EDR è all’avanguardia della moderna cybersecurity, con un rilevamento degli endpoint estremamente potente e il deep learning per una protezione estremamente eccezionale contro attività sospette, malware sconosciuto e ransomware.
Con la versione 3.0 sono state implementate due funzioni innovative che saranno di grande aiuto agli amministratori per affrontare le richieste e le sfide quotidiane dell’IT. Queste nuove funzioni sono già disponibili per Windows 8, 8.1, 10 e Windows Server. Il supporto per Linux e Mac seguirà nel secondo trimestre.
Nota: per utilizzare le nuove funzioni di Intercept X Advanced con EDR 3.0, è necessario accedere all’Early Access Program. Il programma di accesso anticipato è disponibile per tutti coloro che hanno acquistato una licenza per Intercept X o Intercept X for Server. Se avete già sottoscritto il programma EAP “Nuove funzionalità di protezione degli endpoint e EDR”, non dovete fare altro. I dispositivi riceveranno quindi automaticamente l’aggiornamento.
Cosa c’è di nuovo?
- Scoprire in diretta
- Risposta in diretta
Scoprire in diretta
Live Discover è la funzione più recente e più importante di Sophos Intercept X Advanced con EDR 3.0. Live Discover vi offre l’opportunità di porre domande sui problemi di sicurezza dei dispositivi. A tal fine, Live Discover accede alle attività passate e allo stato attuale dei dispositivi per ottenere direttamente le risposte. Può trattarsi di una semplice interrogazione del tipo “Da quanto tempo è in funzione il dispositivo? Ma è anche in grado di gestire interrogazioni molto più complesse, come il rilevamento di deviazioni nella comunicazione di rete o dei valori predefiniti dei singoli dispositivi negli ultimi 30 giorni. È possibile eseguire tutte queste query direttamente da Sophos Central. È possibile utilizzare completamente l’API tramite Central, porre domande e selezionare il dispositivo a cui rivolgerle. Questo metodo consente di rilevare tempestivamente le minacce che potrebbero arrivare.
E come funziona?
Con l’aiuto di Live Discovery, è possibile utilizzare SQL per porre qualsiasi domanda sui server o sugli endpoint. È possibile scegliere tra una serie di domande predefinite o modificarle per fornire esattamente le informazioni desiderate. Questo può aiutare nella ricerca delle minacce o nella risoluzione di domande specifiche del settore IT, come ad esempio:
- Quali sono le prestazioni del dispositivo?
- Perché la mia macchina funziona lentamente?
- Quale patch è in esecuzione sul dispositivo?
- Quali informazioni sull’hardware e sul sistema operativo sono disponibili sul dispositivo?
- Quali dati e quali voci di registro sono presenti sul mio dispositivo? È stato cambiato qualcosa negli ultimi 10 giorni?
Oltre a modificare una query esistente, è possibile creare query SQL personalizzate e salvarle in una categoria. In Live Discover sono presenti molte categorie, come si può vedere nella seguente schermata:
Nota: è possibile trovare ulteriore supporto nella Community di Sophos e condividere le domande scritte. Tuttavia, per l’accesso è necessario un ID Sophos.
Per avviare una query, selezionare innanzitutto i dispositivi da cui si desidera ottenere determinate informazioni. Nella schermata sottostante, ad esempio, è possibile vedere il risultato di una query di varie informazioni sul sistema operativo:
In risposta a questa richiesta, Live Discover presenta il nome dell’host, il nome del produttore della CPU, il sistema operativo e la versione del sistema operativo e molto altro ancora per tutti i dispositivi selezionati. Le statistiche e i dati vengono elaborati su ogni singolo dispositivo selezionato prima dell’interrogazione e trasmessi alla Centrale. Se si invia una query, ad esempio, a 10.000 dispositivi, il carico viene distribuito a tutti questi dispositivi, il che significa che il carico su un singolo dispositivo è minimo.
Ecco come le nuove funzioni di “Live Discover” vi aiutano a svolgere i vostri compiti:
Esso…
- consente di selezionare più dispositivi per le query
- Fornisce funzionalità avanzate di caccia alle minacce
- Aiuta nelle analisi forensi
- offre query SQL per maggiori dettagli
- Fornisce dati storici, dal giorno corrente a 90 giorni nel passato
- Scala con diverse migliaia di dispositivi
- Contiene dettagli su patch, versioni del sistema operativo, video e informazioni di archiviazione.
- Ha accesso agli eventi del sistema
- ha informazioni su tutti i processi, sia quelli in esecuzione che quelli in corso.
- Fornisce l’accesso alla visualizzazione delle modifiche nel registro di sistema.
- Fornisce informazioni sull’accesso degli utenti
Risposta in diretta
Live Response è un’altra ingegnosa funzione di Sophos Intercept X con EDR 3.0 che sicuramente vi piacerà. Permette agli amministratori di accedere da remoto a tutti i dispositivi del proprio ambiente da qualsiasi parte del mondo Live. Questo non significa una sessione remota diretta con un’immagine, ma piuttosto un accesso sicuro alla riga di comando, che può essere utilizzato tramite Sophos Central nel browser. Sophos Central agisce come un terminale per controllare il dispositivo desiderato. In questo modo è possibile condurre indagini dettagliate e relative alla sicurezza su un dispositivo o rispondere a una minaccia in tempo reale.
E come funziona?
Prima di poter avviare la sessione di risposta dal vivo, è necessario effettuare l’impostazione appropriata in Sophos Central. Tuttavia, solo gli account di superamministrazione che si sono autenticati tramite 2FA hanno l’autorizzazione a farlo.
Non appena Live Response è stato attivato nelle impostazioni globali, è possibile avviare una shell come superamministratore per ogni computer o server amministrato in Central. Qui è possibile utilizzare tutti i tipi di comandi che si potrebbero anche eseguire fisicamente direttamente sulla macchina. Ad esempio, “iponfig” per verificare l’indirizzo IP del dispositivo selezionato, oppure il comando “reg” per visualizzare, modificare o eliminare le chiavi di registro. È inoltre possibile sfogliare, visualizzare o eliminare i file.
Nota: al momento, anche in questo caso sono supportati solo i computer Windows o i server Windows. Il supporto per Linux e Mac seguirà in seguito.
Sophos Central fornisce una connessione sicura al vostro dispositivo. Non è necessario aprire alcuna porta specificamente per questo scopo. Come accennato all’inizio, le sessioni di risposta in tempo reale possono essere avviate solo dai superamministratori con autenticazione a due fattori. Inoltre, ogni connessione di risposta in tempo reale viene registrata nel log di audit ed è possibile risalire in qualsiasi momento all’avvio e all’interruzione di una sessione.
Questo è ciò che offre Live Response:
- Accesso remoto ai dispositivi da qualsiasi parte del mondo
- Le unità in attesa di un aggiornamento possono essere riavviate
- Modifica delle chiavi di registro
- Ricerca file
- Eliminare i file
- Avvio di programmi e sceneggiature
- Contribuire a rintracciare ed eliminare le attività discutibili.
- Cercare tutti i processi in esecuzione – E terminarli in qualsiasi momento
- Installazione e disinstallazione del software
- Avviare gli strumenti forensi
- Accesso completo al sistema
Provate subito Sophos Intercept X con EDR 3.0!
Per vedere di persona Live Discover e Live Response, è sufficiente partecipare al programma EAP (Early Access Programme)“New Endpoint Protection and EDR Features“. A tal fine è necessaria almeno una licenza valida per Intercept X o Intercept X Advanced for Server.
Se non avete ancora un account Sophos Central, potete crearne uno sul sito web di Sophos e provare tutte le funzionalità, tra cui “Sophos Intercept X con EDR 3.0”, gratuitamente per 30 giorni.
Se si dispone di un account Sophos Central e il periodo di prova di 30 giorni è già scaduto, è possibile ordinare una licenza per “Sophos Intercept X” o “Intercept X Advanced for Server” tramite il nostro sito web e quindi beneficiare del PAE: