Symantec Endpoint Detection and Response (EDR) – Обнаружить и защитить!

15 Марта 10:12
Назарий Кунда
С выходом новой версии решения для защиты конечных точек — Symantec Endpoint Protection 14.1, — появились новые возможности по интеграции с Symantec Endpoint Detection and Response, в частности с модулем по анализу и поиску угроз Symantec Advanced Threat Protection, который также был обновлён до версии 3.0.

Немного предыстории: компания Symantec представила рынку новую версию своего эффективного решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение — новые возможности Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint). Endpoint Detection and Response является не самостоятельным решением, а сервисом, который аккумулирует информацию о работе компьютера и передаёт полученные данные в ATP для дальнейшего анализа, поиска аномалий и обнаружения целенаправленных атак. С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищённости сети. EDR собирает разнообразную информацию: о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и т.д. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты. ATP:Endpoint — это виртуальное или физическое устройство, работающее внутри периметра компании, и получающее информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. ATP:Endpoint выявляет угрозы и приоритезирует инциденты путём анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы «в один клик». ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в «песочнице». В качестве «песочницы» может быть использован облачный сервис «Cynic», который входит в ATP, или локальная «песочница» Symantec Content Analysis System с опцией Malware Analysis.

Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединён вместе c ATP:Endpoint в одном устройстве. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путём совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях.

Возможности и преимущества использование сервиса Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection

В основе алгоритмов работы Symantec Advanced Threat Protection — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:

Анализ активности

EDR передаёт в ATP данные о событиях, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создаётся база данных, по которой можно проводить расследования инцидентов. При корреляции определённых событий создаётся инцидент, причём все инциденты регистрируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.

«Песочница» Sandbox

Решение ATP использует «песочницу» (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непосредственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в «песочницу». При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в «песочницу». В случае «детонации» файла в «песочнице» файл может быть сразу же заблокирован на всех рабочих местах в сети.

Эффективность использование глобальной сети GIN

Решение ATP активно взаимодействует с глобальной сетью GIN и они производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec.

Схема взаимодействия и работы решения Symantec Advanced Threat Protection и сервиса Endpoint Detection and Response

sym

Оперативное обнаружение

В случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. Используя централизованную консоль управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, а команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.

Корреляция и анализ событий между различными решениями Symantec

В контур мониторинга ATP, помимо конечных точек с EDR, входят все решения Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, а также систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.

Интеграция с другими средствами защиты

В решении Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-решениями. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с решениями Symantec.

Итоги:

Компания Symantec в очередной раз подтвердила свой статус одного из лидеров на рынке в области информационной безопасности, включая эффективную защиту конечных точек. Новая версия Symantec Endpoint Protection 14, в которой обновлена функциональность Endpoint Detection and Response, с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты, позволяет быстро и эффективно построить комплекс по защите конечных точек.

Назарий Кунда, технический эксперт компании Oberig IT

Материалы по теме:

Комментарии:

НОВЫЕ СТАТЬИ

Облачный рынок Украины, обзор 2017-2018 гг.
По материалам IDC Вчера 10:25
SAP перекупила Qualtrics накануне IPO за $8 млрд
Владимир Смирнов 13 Ноября 10:00
Открой меня
Обязательно поучаствуйте: ×