Symantec Endpoint Detection and Response (EDR) – Практическое применение
«Информационная панель» Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
В основном меню Symantec ATP представлены основные разделы:
- Поиск (Seach);
- Основная панель (Dashboard);
- Инциденты (Incident Manager);
- Политики (Policies);
- События (Logging);
- Отчёты (Reports)
- Настройки (Settings).
При переходе в раздел «Инциденты» (Incident Manager) отображается перечень обнаруженных инцидентов с графическим отображением во времени. Для реагирования на инциденты нужно выбрать один из списка и перейти к его просмотру и детализации.
Список обнаруженных инцидентов в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
Во вкладке Incident Manager отображается вся информация по инцидентам — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной угрозы, дата и время возникновения инцидента и его статус.
При переходе к детализации инцидента отображается графическая визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов. Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения детализации инцидента, специалист по информационной безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным инцидентам. После принятия решения инцидент закрывается и исчезает из общего отображения инцидентами в консоли управления Symantec ATP.
Детализация по инцидентам в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
Все инциденты могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из “песочницы” об активности в изолированной среде и информация о действиях в реальных системах.
Из интерфейса управления Symantec ATP можно выполнить некоторые действия с файлом — собрать его “дамп”, добавить в список угроз или исключений, запустить в “песочнице” (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения, удалить его или оставить комментарий.
Детализация по анализу потенциально вредоносных файлов, угроз в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
В решении Symantec ATP присутствует глобальный поиск, включая поиск по «индикаторам компрометации». Поиск осуществляется по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам.
С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения информационной безопасности. Для руководителей по информационной безопасности будет полезна функциональность отчетов «Reports» — возможность собрать и визуализировать основные метрики по работе решения, активности конечных точек, реакции специалистов на инциденты информационной безопасности и уровень защищенности ИТ-инфраструктуры.
Назарий Кунда, технический эксперт компании Oberig IT