Symantec Endpoint Detection and Response (EDR) – Практическое применение

26 Марта 11:31
Назарий Кунда
Управление Symantec Endpoint Detection and Response осуществляется из единой консоли управления решением Symantec Advanced Threat Protection (Symantec ATP). На главном экране Symantec ATP представлена «Информационная панель» (Dashboard) с графическим изображением активностей событий (Event Activity), статистикой и информацией о количестве событий и потенциальных угроз.

«Информационная панель» Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

1ob

В основном меню Symantec ATP представлены основные разделы:

  • Поиск (Seach);
  • Основная панель (Dashboard);
  • Инциденты (Incident Manager);
  • Политики (Policies);
  • События (Logging);
  • Отчёты (Reports)
  • Настройки (Settings).

При переходе в раздел «Инциденты» (Incident Manager) отображается перечень обнаруженных инцидентов с графическим отображением во времени. Для реагирования на инциденты нужно выбрать один из списка и перейти к его просмотру и детализации.

Список обнаруженных инцидентов в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

2ob

Во вкладке Incident Manager отображается вся информация по инцидентам — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной угрозы, дата и время возникновения инцидента и его статус.

При переходе к детализации инцидента отображается графическая визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов. Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения детализации инцидента, специалист по  информационной безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным инцидентам. После принятия решения инцидент закрывается и исчезает из общего отображения инцидентами в консоли управления Symantec ATP. 

Детализация по инцидентам в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

 3ob_01

4ob 

Все инциденты могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из “песочницы” об активности в изолированной среде и информация о действиях в реальных системах.

Из интерфейса управления Symantec ATP можно выполнить некоторые действия с файлом — собрать его “дамп”, добавить в список угроз или исключений, запустить в “песочнице” (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения, удалить его или оставить комментарий. 

Детализация по анализу потенциально вредоносных файлов, угроз в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

5ob

В решении Symantec ATP присутствует глобальный поиск, включая поиск по «индикаторам компрометации». Поиск осуществляется по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам.

С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения информационной безопасности. Для руководителей по информационной безопасности будет полезна функциональность отчетов «Reports» — возможность собрать и визуализировать основные метрики по работе решения, активности конечных точек, реакции специалистов на инциденты информационной безопасности и уровень защищенности ИТ-инфраструктуры.

Назарий Кунда, технический эксперт компании Oberig IT

Материалы по теме:

Комментарии: