Saltar para o conteudo
Avanet
Novas e poderosas funcionalidades no Intercept X Advanced com EDR 3.0

Novas e poderosas funcionalidades no Intercept X Advanced com EDR 3.0

2. JUNHO 2020

O Sophos Intercept X Advanced com EDR situa‑se na linha da frente da cibersegurança moderna e oferece uma deteção de endpoints muito poderosa, bem como capacidades de Deep Learning, para uma proteção excecional contra atividade suspeita, malware desconhecido e ransomware.

Com a versão 3.0 foram introduzidas duas funcionalidades inovadoras que ajudam os administradores a lidar com as exigências e desafios diários de TI. Estas funcionalidades já estão disponíveis para Windows 8, 8.1, 10 e Windows Server. O suporte para Linux e Mac está planeado para mais tarde no segundo trimestre.

Nota: para utilizar as novas funcionalidades do Intercept X Advanced com EDR 3.0 é necessário ter acesso ao Early Access Program. Este programa está disponível para ambientes com licença do Intercept X ou do Intercept X for Server. Se já estiver inscrito no EAP “Novas funcionalidades de Endpoint Protection e EDR”, não precisa de fazer mais nada: os dispositivos recebem a atualização automaticamente.

O que há de novo?

  • Live Discover
  • Live Response

Live Discover

O Live Discover é a funcionalidade mais recente e importante do Sophos Intercept X Advanced com EDR 3.0. O Live Discover permite colocar perguntas sobre questões de segurança relacionadas com os dispositivos. Para isso, utiliza tanto a atividade histórica como o estado atual dos endpoints e devolve respostas diretas. As consultas podem ser tão simples como “Há quanto tempo está este dispositivo ligado?” ou muito mais complexas, como detetar anomalias no tráfego de rede ou desvios em relação a valores base em dispositivos específicos nos últimos 30 dias. Todas as consultas são executadas diretamente a partir do Sophos Central. Através do Central é possível tirar partido completo da API, definir perguntas e escolher os dispositivos a interrogar. Desta forma é possível identificar potenciais ameaças com antecedência.

Como funciona?

Com o Live Discover, é possível usar SQL para colocar praticamente qualquer pergunta sobre servidores ou endpoints. Pode‑se escolher entre uma ampla lista de consultas predefinidas ou adaptá‑las para que forneçam exatamente a informação necessária. Isso é útil tanto na procura proativa de ameaças como na resolução de questões típicas de TI, como por exemplo:

  • Qual é o desempenho do dispositivo?
  • Por que razão o dispositivo está lento?
  • Qual o nível de patch instalado no dispositivo?
  • Que informações de hardware e sistema operativo estão disponíveis?
  • Que dados e entradas de registo existem no dispositivo e o que mudou nos últimos dez dias?

Para além de adaptar as consultas existentes, é possível criar novas consultas SQL e armazená‑las por categorias. O Live Discover inclui várias categorias, como se vê na captura de ecrã seguinte:

Threat Analysis Center – categorias do Live Discover

Nota: na comunidade Sophos encontra‑se apoio adicional e é possível partilhar queries personalizadas. Para aceder é necessária uma Sophos ID.

Para iniciar uma consulta, selecionam‑se primeiro os dispositivos sobre os quais se pretende obter informação. Na captura de ecrã seguinte mostra‑se, por exemplo, o resultado de uma consulta relativa a detalhes do sistema operativo:

Threat Analysis Center – Live Discover – consulta de detalhes do sistema operativo

Em resposta, o Live Discover devolve, para cada dispositivo selecionado, o nome de host, o fabricante da CPU, o sistema operativo, a versão do sistema e muito mais. As estatísticas e dados são recolhidos localmente em cada endpoint e enviados depois para o Central. Se se enviar uma consulta para, por exemplo, 10 000 dispositivos, a carga é distribuída entre todos, minimizando o impacto em qualquer dispositivo individual.

Como as novas funcionalidades do “Live Discover” ajudam no dia a dia

O Live Discover:

  • permite selecionar vários dispositivos por consulta
  • disponibiliza capacidades avançadas para a procura de ameaças
  • apoia análises forenses
  • oferece queries SQL para obter mais detalhes
  • fornece dados históricos – desde o dia atual até 90 dias para trás
  • escala facilmente para muitos milhares de dispositivos
  • inclui detalhes sobre patches, versões do sistema operativo, gráficos e memória
  • tem acesso a eventos de sistema
  • acompanha todos os processos – passados e presentes
  • permite ver alterações no registo
  • disponibiliza informação sobre inícios de sessão de utilizadores

Live Response

O Live Response é outra funcionalidade muito útil do Sophos Intercept X com EDR 3.0, que muitos administradores vão apreciar. Permite aceder remotamente, a partir de qualquer lugar, aos dispositivos do ambiente. Não se trata de uma sessão completa de desktop remoto, mas sim de uma ligação segura à linha de comandos, controlada através do Sophos Central no navegador. O Sophos Central funciona como terminal para estabelecer a ligação com o dispositivo pretendido. Isto torna possível realizar análises de segurança detalhadas num endpoint ou reagir em tempo real a uma ameaça ativa.

Como funciona?

Antes de iniciar uma sessão de Live Response, é necessário ativar a definição correspondente no Sophos Central. Apenas contas com permissões de superadministrador autenticadas com 2FA podem alterar essa opção.

Definições globais – Live Response

Depois de ativado o Live Response nas definições globais, os superadministradores podem iniciar uma sessão de shell para qualquer computador ou servidor gerido no Central. A partir daí, podem ser executados todos os comandos que normalmente seriam corridos localmente na máquina, por exemplo ipconfig para verificar o endereço IP do dispositivo ou o comando reg para ver, modificar ou eliminar chaves de registo. É ainda possível procurar, visualizar e apagar ficheiros.

Live Response – linha de comandos

Nota: de momento, também aqui apenas são suportados computadores Windows e Windows Server. O suporte para Linux e Mac será disponibilizado mais tarde.

O Sophos Central fornece uma ligação segura aos vossos dispositivos. Não é necessário abrir portas adicionais para isso. Como já foi referido, as sessões de Live Response só podem ser iniciadas por superadministradores com autenticação de dois fatores ativa. Além disso, cada ligação Live Response é registada no log de auditoria, o que permite verificar sempre quando uma sessão foi iniciada e terminada.

O que o Live Response oferece

  • acesso remoto aos vossos dispositivos a partir de qualquer lugar do mundo
  • possibilidade de reiniciar dispositivos que estejam a aguardar uma atualização
  • edição de chaves de registo
  • pesquisa em ficheiros
  • eliminação de ficheiros
  • execução de programas e scripts
  • ajuda na deteção e remoção de atividades suspeitas
  • possibilidade de inspecionar todos os processos em execução e terminá-los quando necessário
  • instalação e desinstalação de software
  • execução de ferramentas forenses
  • acesso total ao sistema

Experimente já o Sophos Intercept X com EDR 3.0

Para ver com os seus próprios olhos o Live Discover e o Live Response, basta aderir ao EAP (Early Access Program) “Novas funcionalidades de Endpoint Protection e EDR”. É obrigatória pelo menos uma licença válida de Intercept X ou Intercept X Advanced for Server.

Se ainda não tiver uma conta Sophos Central, pode registar‑se no site da Sophos e testar todas as funcionalidades, incluindo “Sophos Intercept X com EDR 3.0”, gratuitamente durante 30 dias.

Se já tiver uma conta Sophos Central e o período experimental de 30 dias tiver terminado, pode adquirir uma licença de “Sophos Intercept X” ou “Intercept X Advanced for Server” através do nosso site e, depois, participar no EAP:

David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.