Przejdz do tresci
Avanet
Potężne nowe funkcje w Intercept X Advanced z EDR 3.0

Potężne nowe funkcje w Intercept X Advanced z EDR 3.0

2. CZERWCA 2020

Sophos Intercept X Advanced z EDR znajduje się w czołówce nowoczesnych rozwiązań z zakresu cyberbezpieczeństwa i oferuje bardzo skuteczną detekcję na endpointach oraz Deep Learning zapewniające wyjątkową ochronę przed podejrzaną aktywnością, nieznanym malware i ransomware.

Wraz z wersją 3.0 wprowadzono dwie przełomowe funkcje, które wspierają administratorów w sprostaniu codziennym wymaganiom i wyzwaniom IT. Nowe możliwości są już dostępne dla systemów Windows 8, 8.1, 10 oraz Windows Server. Wsparcie dla systemów Linux i Mac jest planowane później, w drugim kwartale.

Informacja: aby korzystać z nowych funkcji Intercept X Advanced z EDR 3.0, potrzebny jest dostęp do Early Access Program. Program jest dostępny dla środowisk posiadających licencję na Intercept X lub Intercept X for Server. Jeśli już biorą Państwo udział w EAP „Nowe funkcje Endpoint Protection i EDR”, nie muszą Państwo wykonywać żadnych dodatkowych działań – urządzenia otrzymają aktualizację automatycznie.

Co nowego?

  • Live Discover
  • Live Response

Live Discover

Live Discover to najnowsza i kluczowa funkcja Sophos Intercept X Advanced z EDR 3.0. Umożliwia ona zadawanie pytań dotyczących bezpieczeństwa urządzeń. W tym celu korzysta z danych historycznych oraz bieżącego stanu endpointów, aby udzielić odpowiedzi bezpośrednio. Zapytania mogą być proste, na przykład „Jak długo działa to urządzenie?”, ale również znacznie bardziej złożone – służące do wykrywania anomalii w komunikacji sieciowej czy odchyleń od wartości bazowych na danym urządzeniu w ciągu ostatnich 30 dni. Wszystkie zapytania są uruchamiane bezpośrednio z poziomu Sophos Central. Dzięki temu można w pełni wykorzystać API Central, formułować własne pytania i wybierać urządzenia, do których są one kierowane. W ten sposób można wcześnie wykrywać potencjalne zagrożenia.

Jak to działa?

Korzystając z Live Discover, można używać SQL, aby zadawać praktycznie dowolne pytania dotyczące serwerów i endpointów. Można wybrać zapytania z obszernej biblioteki predefiniowanych przykładów lub je zmodyfikować tak, by zwracały dokładnie potrzebne informacje. To podejście sprawdza się zarówno przy polowaniu na zagrożenia, jak i przy rozwiązywaniu typowych problemów IT, takich jak:

  • Jaka jest wydajność urządzenia?
  • Dlaczego urządzenie działa wolno?
  • Jaki poziom poprawek jest zainstalowany?
  • Jakie informacje o sprzęcie i systemie operacyjnym są dostępne?
  • Jakie dane i wpisy rejestru znajdują się na urządzeniu i co zmieniło się w ostatnich dziesięciu dniach?

Oprócz modyfikowania istniejących zapytań można tworzyć całkowicie nowe zapytania SQL i zapisywać je w kategoriach. Live Discover udostępnia liczne kategorie, co widać na poniższym zrzucie ekranu:

Threat Analysis Center – kategorie Live Discover

Informacja: w społeczności Sophos dostępne jest dodatkowe wsparcie, a użytkownicy mogą wymieniać się własnymi zapytaniami. Do dostępu wymagana jest Sophos ID.

Aby uruchomić zapytanie, należy najpierw wybrać urządzenia, z których mają zostać pobrane informacje. Na kolejnym zrzucie ekranu przedstawiono wynik zapytania dotyczącego szczegółów systemu operacyjnego:

Threat Analysis Center – Live Discover – zapytanie o szczegóły systemu operacyjnego

W odpowiedzi Live Discover zwraca dla każdego wybranego urządzenia m.in. nazwę hosta, producenta CPU, system operacyjny, jego wersję oraz szereg dodatkowych informacji. Statystyki i dane są gromadzone lokalnie na każdym endpointzie, a następnie przesyłane do Central. Jeśli zapytanie zostanie wysłane do, na przykład, 10 000 urządzeń, obciążenie rozkłada się na wszystkie, co ogranicza wpływ na pojedynczy endpoint do minimum.

Jak „Live Discover” wspiera codzienną pracę

Live Discover:

  • pozwala wybierać wiele urządzeń dla jednego zapytania
  • udostępnia zaawansowane funkcje polowania na zagrożenia
  • wspomaga analizy forensyczne
  • oferuje zapytania SQL dla bardziej szczegółowych danych
  • zapewnia dostęp do danych historycznych – od bieżącego dnia do 90 dni wstecz
  • skaluje się do tysięcy urządzeń
  • zawiera informacje o poprawkach, wersjach systemu, grafice i pamięci
  • ma dostęp do zdarzeń systemowych
  • śledzi wszystkie procesy – przeszłe i obecne
  • umożliwia wgląd w zmiany w rejestrze
  • dostarcza informacji o logowaniach użytkowników

Live Response

Live Response to kolejna bardzo przydatna funkcja Sophos Intercept X z EDR 3.0, którą wielu administratorów szybko doceni. Umożliwia ona zdalny dostęp do urządzeń w środowisku z dowolnego miejsca na świecie. Nie jest to pełna sesja pulpitu zdalnego, lecz bezpieczne połączenie z wierszem poleceń sterowane z poziomu Sophos Central w przeglądarce. Sophos Central pełni rolę terminala do komunikacji z wybranym urządzeniem. Dzięki temu można prowadzić szczegółowe analizy bezpieczeństwa na endpointach lub reagować w czasie rzeczywistym na aktywne zagrożenia.

Jak to działa?

Przed uruchomieniem sesji Live Response trzeba włączyć odpowiednie ustawienie w Sophos Central. Zmiany mogą dokonywać wyłącznie konta z uprawnieniami superadministratora, które uwierzytelniają się przy użyciu 2FA.

Ustawienia globalne – Live Response

Gdy Live Response jest aktywne w ustawieniach globalnych, superadministratorzy mogą uruchamiać sesje shell dla dowolnych komputerów i serwerów zarządzanych w Central. Mogą wtedy wydawać wszystkie polecenia, jakie normalnie wykonano by lokalnie na maszynie – na przykład ipconfig, aby sprawdzić adres IP urządzenia, lub komendę reg do wyświetlania, modyfikowania i usuwania wpisów rejestru. Można też przeglądać, otwierać i usuwać pliki.

Live Response – wiersz poleceń

Informacja: obecnie również tutaj obsługiwane są wyłącznie komputery z Windows i serwery Windows. Wsparcie dla Linuxa i Maca pojawi się później.

Sophos Central zapewnia bezpieczne połączenie z urządzeniami. Nie trzeba w tym celu otwierać żadnych dodatkowych portów. Jak wspomniano wcześniej, sesje Live Response mogą uruchamiać wyłącznie superadministratorzy z włączonym uwierzytelnianiem dwuskładnikowym. Dodatkowo każde połączenie Live Response jest rejestrowane w dzienniku audytu, dzięki czemu zawsze można sprawdzić, kiedy dana sesja została uruchomiona i zakończona.

Co oferuje Live Response

  • zdalny dostęp do urządzeń z dowolnego miejsca na świecie
  • możliwość restartowania urządzeń oczekujących na aktualizację
  • edycję kluczy rejestru
  • przeszukiwanie plików
  • usuwanie plików
  • uruchamianie programów i skryptów
  • pomoc w wykrywaniu i usuwaniu podejrzanych działań
  • możliwość sprawdzania wszystkich uruchomionych procesów i kończenia ich w dowolnym momencie
  • instalację i odinstalowanie oprogramowania
  • uruchamianie narzędzi forensycznych
  • pełny dostęp do systemu

Wypróbuj teraz Sophos Intercept X z EDR 3.0

Aby samodzielnie zobaczyć, jak działają Live Discover i Live Response, wystarczy dołączyć do EAP (Early Access Program) „Nowe funkcje Endpoint Protection i EDR”. Wymagana jest co najmniej jedna ważna licencja na Intercept X lub Intercept X Advanced for Server.

Jeśli nie mają Państwo jeszcze konta Sophos Central, mogą Państwo zarejestrować się na stronie Sophos i przetestować wszystkie funkcje, w tym „Sophos Intercept X z EDR 3.0”, bezpłatnie przez 30 dni.

Jeśli mają już Państwo konto Sophos Central i okres testowy 30 dni dobiegł końca, mogą Państwo zakupić licencję na „Sophos Intercept X” lub „Intercept X Advanced for Server” na naszej stronie, a następnie dołączyć do EAP:

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.