Naar de inhoud
Avanet
Krachtige nieuwe functies in Intercept X Advanced met EDR 3.0

Krachtige nieuwe functies in Intercept X Advanced met EDR 3.0

2. JUNI 2020

Sophos Intercept X Advanced met EDR staat vooraan in de moderne cybersecurity en biedt krachtige endpointdetectie en Deep Learning voor uitstekende bescherming tegen verdachte activiteiten, onbekende malware en ransomware.

Met versie 3.0 zijn twee baanbrekende functies geïntroduceerd die admins helpen de dagelijkse eisen en uitdagingen in de IT aan te pakken. Deze nieuwe mogelijkheden zijn al beschikbaar voor Windows 8, 8.1, 10 en Windows Server. Ondersteuning voor Linux en Mac volgt later in het tweede kwartaal.

Opmerking: om de nieuwe functies in Intercept X Advanced met EDR 3.0 te gebruiken, heb je toegang tot het Early Access Program nodig. Dit programma is beschikbaar voor iedereen met een licentie voor Intercept X of Intercept X for Server. Als je al deelneemt aan het EAP “Nieuwe Endpoint Protection‑ en EDR‑functies”, hoef je niets meer te doen; de apparaten ontvangen de update automatisch.

Wat is nieuw?

  • Live Discover
  • Live Response

Live Discover

Live Discover is de nieuwste en belangrijkste functie in Sophos Intercept X Advanced met EDR 3.0. Met Live Discover kun je vragen stellen over de beveiligingsstatus van je apparaten. De functie gebruikt zowel historische activiteiten als de huidige toestand van de endpoints om direct antwoorden te geven. De queries kunnen heel eenvoudig zijn, zoals “Hoelang draait dit apparaat al?”, maar ook veel complexere vragen afhandelen, zoals het detecteren van afwijkingen in netwerkcommunicatie of verschillen ten opzichte van basiswaarden van een apparaat in de afgelopen 30 dagen. Al deze queries voer je rechtstreeks uit via Sophos Central. Via Central heb je volledige toegang tot de API, kun je vragen formuleren en de apparaten selecteren die je wilt bevragen. Zo kun je potentiële bedreigingen vroegtijdig opsporen.

Hoe werkt het?

Met Live Discover kun je met behulp van SQL vrijwel elke denkbare vraag stellen over je servers en endpoints. Je kunt kiezen uit een groot aantal vooraf gedefinieerde queries of deze aanpassen zodat ze precies de informatie opleveren die je nodig hebt. Dat helpt bij threat hunting én bij het oplossen van typische IT‑vragen, zoals:

  • Hoe presteert het apparaat?
  • Waarom werkt mijn apparaat traag?
  • Welke patch‑stand draait er op het apparaat?
  • Welke hardware‑ en besturingssysteeminformatie is beschikbaar?
  • Welke gegevens en registeritems zijn aanwezig op het apparaat en wat is er in de laatste tien dagen gewijzigd?

Naast het aanpassen van bestaande queries kun je volledig eigen SQL‑queries opstellen en deze in categorieën opslaan. Live Discover bevat tal van categorieën, zoals te zien is op de volgende screenshot:

Threat Analysis Center – Live Discover‑categorieën

Opmerking: in de Sophos Community vind je extra ondersteuning en kun je zelfgeschreven queries delen. Hiervoor is een Sophos ID vereist.

Om een query te starten, selecteer je eerst de apparaten waarvan je informatie nodig hebt. De volgende screenshot toont bijvoorbeeld het resultaat van een query naar details over het besturingssysteem:

Threat Analysis Center – Live Discover – query met besturingssysteemdetails

Als antwoord geeft Live Discover voor elk geselecteerd apparaat onder andere de hostnaam, de CPU‑fabrikant, het besturingssysteem, de OS‑versie en meer. De statistieken en gegevens worden op elk endpoint afzonderlijk verzameld en vervolgens naar Central gestuurd. Als je een query naar bijvoorbeeld 10.000 apparaten stuurt, wordt de belasting over al deze endpoints verdeeld, zodat de impact per apparaat minimaal blijft.

Hoe “Live Discover” je dagelijkse werk ondersteunt

Live Discover:

  • laat je meerdere apparaten per query selecteren
  • biedt geavanceerde mogelijkheden voor threat hunting
  • ondersteunt forensische analyses
  • levert SQL‑queries voor meer detail
  • stelt historische gegevens beschikbaar – vanaf vandaag tot 90 dagen terug
  • schaalt naar vele duizenden apparaten
  • bevat informatie over patches, OS‑versies, grafische kaart en geheugen
  • heeft toegang tot systeemgebeurtenissen
  • houdt bij welke processen actief zijn en zijn geweest
  • geeft inzicht in wijzigingen in het register
  • toont informatie over gebruikersaanmeldingen

Live Response

Live Response is een andere krachtige functie in Sophos Intercept X met EDR 3.0 waar veel admins blij mee zullen zijn. Hiermee kun je vanaf elke locatie ter wereld op afstand verbinding maken met apparaten in je eigen omgeving. Het gaat niet om een volledige remote desktop‑sessie, maar om een beveiligde commandlineverbinding die je vanuit Sophos Central in de browser bedient. Sophos Central fungeert daarbij als terminal die de verbinding met het gekozen apparaat tot stand brengt. Dit maakt het mogelijk om gedetailleerde beveiligingsonderzoeken uit te voeren of in realtime op een lopende dreiging te reageren.

Hoe werkt het?

Voordat je een Live Response‑sessie kunt starten, moet je de functie eerst inschakelen in Sophos Central. Alleen superadminaccounts die zich met 2FA authenticeren, mogen deze instelling wijzigen.

Globale instellingen – Live Response

Zodra Live Response in de globale instellingen is geactiveerd, kunnen superadmins een shellsessie starten voor elke computer of server die in Central wordt beheerd. Je kunt dan alle commando’s uitvoeren die je normaal gesproken lokaal op de machine zou draaien, bijvoorbeeld ipconfig om het IP‑adres van het apparaat te controleren of het reg‑commando om registerkeys weer te geven, aan te passen of te verwijderen. Je kunt ook bestanden doorzoeken, bekijken of verwijderen.

Live Response – opdrachtregel

Opmerking: op dit moment worden hier ook alleen Windows-computers en Windows Server ondersteund. Ondersteuning voor Linux en Mac volgt later.

Sophos Central biedt een veilige verbinding met je apparaten. Je hoeft daarvoor geen extra poorten te openen. Zoals eerder vermeld, kunnen Live Response-sessies alleen worden gestart door superadmins met tweefactorauthenticatie ingeschakeld. Daarnaast wordt elke Live Response-verbinding vastgelegd in het auditlogboek, zodat altijd kan worden nagegaan wanneer een sessie is gestart en beëindigd.

Wat Live Response biedt

  • externe toegang tot je apparaten vanaf elke plek ter wereld
  • de mogelijkheid om apparaten die op een update wachten opnieuw op te starten
  • het bewerken van registry-keys
  • bestanden doorzoeken
  • bestanden verwijderen
  • programma’s en scripts starten
  • ondersteuning bij het opsporen en verwijderen van verdachte activiteiten
  • de mogelijkheid om alle lopende processen te bekijken en indien nodig te beëindigen
  • software installeren en de-installeren
  • forensische tools starten
  • volledige systeemtoegang

Probeer Sophos Intercept X met EDR 3.0 nu uit

Om zelf een indruk te krijgen van Live Discover en Live Response, hoef je je alleen maar aan te melden voor het EAP (Early Access Program) “Nieuwe Endpoint Protection‑ en EDR‑functies”. Daarvoor is minimaal één geldige licentie voor Intercept X of Intercept X Advanced for Server nodig.

Heb je nog geen Sophos Central‑account, dan kun je je via de Sophos‑website registreren en alle functies, inclusief “Sophos Intercept X met EDR 3.0”, 30 dagen lang gratis testen.

Heb je al een Sophos Central‑account en is de proefperiode van 30 dagen afgelopen, dan kun je via onze website een licentie kopen voor “Sophos Intercept X” of “Intercept X Advanced for Server” en vervolgens deelnemen aan het EAP:

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.