Hoppa till innehållet
Avanet
Kraftfulla nya funktioner i Intercept X Advanced med EDR 3.0

Kraftfulla nya funktioner i Intercept X Advanced med EDR 3.0

2. JUNI 2020

Sophos Intercept X Advanced med EDR ligger i framkant inom modern cybersäkerhet och erbjuder mycket kraftfull endpointdetektering och Deep Learning för ett mycket starkt skydd mot misstänkt aktivitet, okänd malware och ransomware.

Med version 3.0 introduceras två banbrytande funktioner som hjälper admins att hantera de dagliga IT‑kraven och utmaningarna. De nya funktionerna är redan tillgängliga för Windows 8, 8.1, 10 och Windows Server. Stöd för Linux och Mac är planerat senare under andra kvartalet.

Obs: för att använda de nya funktionerna i Intercept X Advanced med EDR 3.0 krävs åtkomst till Early Access Program. Programmet är öppet för miljöer som har licens för Intercept X eller Intercept X for Server. Om du redan deltar i EAP:et ”Nya funktioner i Endpoint Protection och EDR” behöver du inte göra något mer – dina enheter får uppdateringen automatiskt.

Vad är nytt?

  • Live Discover
  • Live Response

Live Discover

Live Discover är den viktigaste nyheten i Sophos Intercept X Advanced med EDR 3.0. Live Discover gör att man kan ställa frågor om säkerhetsrelaterade aspekter på enheter. Funktionen använder både historiska aktiviteter och den aktuella statusen för endpoints och ger direkta svar. Frågorna kan vara enkla, som ”Hur länge har den här enheten varit igång?”, men också betydligt mer avancerade – till exempel för att hitta avvikelser i nätverkstrafiken eller skillnader från grundvärden på enheter under de senaste 30 dagarna. Samtliga frågor körs direkt från Sophos Central. Via Central kan man utnyttja API:et fullt ut, definiera frågor och välja vilka enheter som ska besvara dem. På så sätt går det att upptäcka potentiella hot i ett tidigt skede.

Hur fungerar det?

Med Live Discover kan man använda SQL för att ställa i princip vilka frågor som helst om servrar och endpoints. Man kan välja bland ett stort antal fördefinierade frågor eller anpassa dem så att de returnerar exakt den information man behöver. Detta är användbart både för threat hunting och för att lösa typiska IT‑frågor, till exempel:

  • Hur presterar enheten?
  • Varför är min enhet långsam?
  • Vilken patchnivå är installerad?
  • Vilken hårdvaru‑ och operativsystemsinfo finns tillgänglig?
  • Vilka data och registerposter finns på enheten och vad har förändrats under de senaste tio dagarna?

Utöver att justera befintliga frågor går det att skapa egna SQL‑frågor och spara dem i kategorier. Live Discover innehåller många sådana kategorier, vilket framgår av skärmbilden nedan:

Threat Analysis Center – Live Discover‑kategorier

Obs: i Sophos‑communityn finns ytterligare stöd och möjlighet att dela egna frågor. En Sophos ID krävs för åtkomst.

För att starta en fråga väljer man först de enheter som ska ingå. Skärmbilden nedan visar till exempel resultatet av en fråga om detaljer för operativsystemet:

Threat Analysis Center – Live Discover – förfrågan om operativsystemsdetaljer

Som svar returnerar Live Discover bland annat värdnamn, CPU‑tillverkare, operativsystem, OS‑version och annan information för varje vald enhet. Statistik och data samlas in lokalt på respektive endpoint och skickas därefter till Central. Om en fråga skickas till exempelvis 10 000 enheter fördelas belastningen mellan dem, vilket gör påverkan på varje enhet minimal.

Så hjälper ”Live Discover” dig i vardagen

Live Discover:

  • låter dig välja flera enheter per fråga
  • ger avancerade funktioner för threat hunting
  • stödjer forensiska analyser
  • erbjuder SQL‑frågor för mer detaljerad information
  • tillhandahåller historiska data – från dagens datum tillbaka upp till 90 dagar
  • skalar till många tusen enheter
  • innehåller detaljer om patchar, OS‑versioner, grafik och minne
  • har åtkomst till systemhändelser
  • håller reda på alla processer – både tidigare och pågående
  • ger insyn i registerändringar
  • visar information om användarinloggningar

Live Response

Live Response är en annan kraftfull funktion i Sophos Intercept X med EDR 3.0 som många admins kommer att uppskatta. Den gör det möjligt att fjärransluta till enheter i den egna miljön, oavsett var man befinner sig. Det handlar inte om en fullständig fjärrskrivbordssession, utan om en säker kommandoradskoppling som styrs från Sophos Central i webbläsaren. Sophos Central fungerar som terminalen som ansluter till den valda enheten. Det innebär att man kan göra detaljerade säkerhetsutredningar eller reagera i realtid på ett aktivt hot.

Hur fungerar det?

Innan man kan starta en Live Response‑session måste den motsvarande inställningen aktiveras i Sophos Central. Endast superadministratörskonton som använder 2FA får ändra inställningen.

Globala inställningar – Live Response

När Live Response väl är aktiverat i de globala inställningarna kan superadministratörer starta en shellsession för valfri dator eller server som hanteras i Central. Därefter kan man köra samma kommandon som om man vore inloggad lokalt på maskinen – till exempel ipconfig för att se enhetens IP‑adress eller kommandot reg för att visa, ändra eller ta bort registerposter. Man kan också söka efter, visa och ta bort filer.

Live Response – kommandorad

Obs: för närvarande stöds även här endast Windows-datorer och Windows Server. Stöd för Linux och Mac kommer senare.

Sophos Central erbjuder en säker anslutning till dina enheter. Du behöver inte öppna några extra portar för detta. Som nämnts tidigare kan Live Response-sessioner bara startas av superadministratörer med tvåfaktorsautentisering aktiverad. Dessutom registreras varje Live Response-anslutning i granskningsloggen, så att det alltid går att se när en session startades och avslutades.

Det här erbjuder Live Response

  • fjärråtkomst till dina enheter från var som helst i världen
  • möjlighet att starta om enheter som väntar på en uppdatering
  • redigering av registernycklar
  • sökning i filer
  • radering av filer
  • start av program och skript
  • hjälp med att upptäcka och eliminera misstänkta aktiviteter
  • möjlighet att granska alla pågående processer och avsluta dem när det behövs
  • installation och avinstallation av programvara
  • start av forensiska verktyg
  • fullständig systemåtkomst

Prova Sophos Intercept X med EDR 3.0 redan nu

För att själv få en bild av Live Discover och Live Response behöver du bara gå med i EAP:et (Early Access Program) ”Nya funktioner i Endpoint Protection och EDR”. Det krävs minst en giltig licens för Intercept X eller Intercept X Advanced for Server.

Om du inte har något Sophos Central‑konto kan du registrera dig på Sophos webbplats och testa alla funktioner, inklusive ”Sophos Intercept X med EDR 3.0”, gratis i 30 dagar.

Om du redan har ett Sophos Central‑konto och din 30‑dagars testperiod har löpt ut kan du köpa en licens för ”Sophos Intercept X” eller ”Intercept X Advanced for Server” via vår webbplats och sedan gå med i EAP:et:

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.