Как работает Symantec Endpoint Detection and Response (EDR)

Как работает Symantec Endpoint Detection and Response (EDR)

Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение в версии 14.1—  улучшение интеграции Endpoint Detection and Response с модулем анализа и поиска угроз Advanced Threat Protection, который также был обновлен до версии 3.0. В статье рассмотрим подробнее эту технологию.

 

 

 

 

  1. Введение
  2. Системные требования
  3. Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection
  4. Как работает Symantec Endpoint Detection and Response
  5. Выводы

 

Введение

Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Весной этого года мы публиковали подробный обзор четырнадцатой версии продукта. Основное изменение в версии 14.1 — новая версия Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint) версии 3.0. Endpoint Detection and Response не является самостоятельным продуктом, это сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.

С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищенности сети. EDR собирает данные по различным параметрам — информацию о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и другие данные. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты.

ATP:Endpoint — это виртуальный или физический аплайнс, работающий внутри периметра компании, который получает информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. Он выявляет угрозы и приоритизирует инциденты путем анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы в один клик. ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в песочнице. В качестве песочницы может быть использован облачный сервис Cynic, который входит в ATP, или локальная песочница Symantec Content Analysis System версии 2.2 и выше с опцией Malware Analysis, которая лицензируется отдельно от ATP.

Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединен вместе c ATP:Endpoint в одном аплайнсе. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путем совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях.

 

Системные требования

Для работы модуля Endpoint Detection and Response необходимо наличие установленного продукта Symantec Endpoint Protection версии 12.1 и старше, максимальная функциональность (EDR 2.0) поддерживается только в версии 14.1. Системные требования к Symantec Endpoint Protection мы подробно описывали в прошлом обзоре. Поддерживается работа на всех операционных системах, где доступен Symantec Endpoint Protection — MS Windows, macOS и Linux, однако максимальная функциональность доступна только на агентах MS Windows.

Для работы EDR необходимо наличие развернутого продукта Symantec Advanced Threat Protection, который поставляется в виде аппаратного или виртуального аплайнса. Существует два варианта аппаратных платформ, но полнофункциональная работа с EDR 2.0 поддерживается только в модели 8880-30, виртуальный аплайнс работает с EDR без ограничений.

Минимальные требования к виртуальной инфраструктуре для развертывания Symantec Advanced Threat Protection:

  • Система виртуализации VMware ESXi
  • Количество процессоров — 12
  • Оперативная память — 48 Гб
  • Объем жесткого диска — 1 Тб
  • Количество сетевых интерфейсов 1 Гб/сек — 2

 

Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection

В основе алгоритмов работы ATP — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:

  • Исследование активности в системе

EDR передает в ATP данные о событиях в системе, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создается база данных, по которой можно проводить расследования инцидентов. При корреляции определенных событий создается инцидент, причем все инциденты приоритизируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.

  • Песочница

ATP использует песочницу (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непоследственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в песочницу. При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в песочницу. В случае «детонации» файла в песочнице файл может быть сразу же заблокирован на всех рабочих местах в сети.

  • Использование глобальной сети GIN

Системы ATP, установленные у разных заказчиков, активно взаимодействует с глобальной сетью GIN и производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec.

 

Рисунок 1. Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response

 Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response

 

  • Оперативная реакция

В случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. С помощью централизованной консоли управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, и команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.

  • Корреляция событий между различными продуктами Symantec

В контур мониторинга ATP помимо конечных точек с EDR входят все продукты Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, и систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.

  • Интеграция с другими средствами защиты

В продукте Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-системами Splunk и QRadar, а также с системой обслуживания инфраструктуры ServiceNow. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с продуктами Symantec.

 

Как работает Symantec Endpoint Detection and Response

Управление Endpoint Detection and Response осуществляется из единой консоли Advanced Threat Protection вместе с другими модулями системы. На главном экране ATP представлен дашборд по всей системе защиты с графиком возникновения событий, статистикой и информацией о количестве угроз.

 

Рисунок 2. Главный экран управления Symantec Advanced Threat Protection и Endpoint Detection and Response

 Главный экран управления Symantec Advanced Threat Protection и Endpoint Detection and Response

 

В боковом меню представлены основные разделы — поиск, главный экран, инциденты, события, отчеты, настройки и т. д. При переходе в раздел инцидентов отображается график возникновения проблем по времени и перечень последних обнаруженных проблем. Для реагирования на инциденты нужно выбрать одно из событий в списке и перейти к его просмотру.

 

Рисунок 3. Список последних инцидентов в Symantec Advanced Threat Protection и Endpoint Detection and Response

 Список последних инцидентов в Symantec Advanced Threat Protection и Endpoint Detection and Response

 

На экране просмотра инцидента отображается вся информация по событию — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной атаки, дата и время возникновения инцидента и его статус. В отдельном блоке осуществляется визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов.

Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения деталей инцидента специалист по безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным событиям. После принятия решения инцидент закрывается и пропадает из общей выдачи экрана с инцидентами.

 

Рисунок 4. Детальная информация по инциденту в Symantec Advanced Threat Protection и Endpoint Detection and Response

 Детальная информация по инциденту в Symantec Advanced Threat Protection и Endpoint Detection and Response

 

Все события могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из песочницы об активности в изолированной среде и информация о действиях в реальных системах. Из интерфейса управления можно выполнить некоторые действия с файлом — собрать его дамп, добавить в список угроз или исключений, запустить в песочнице (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения или удалить его.

 

Рисунок 5. Детальная информация по анализу потенциально вредоносных файлов в Symantec Advanced Threat Protection и Endpoint Detection and Response

 Детальная информация по анализу потенциально вредоносных файлов в Symantec Advanced Threat Protection и Endpoint Detection and Response

 

В системе управления ATP присутствует глобальный поиск — по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам. С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения безопасности.

Для руководителей будет полезна функциональность отчетов — возможность собрать и визуализировать основные метрики по работе системы, реакции специалистов по безопасности и уровню защищенности инфраструктуры.

 

Выводы

Компания Symantec в очередной раз подтверждает свой статус одного из лидеров на рынке защиты конечных точек. Концентрация на безсигнатурной защите, использовании частного и глобального облаков и объединение всей системы защиты в единый механизм для поиска и устранения угроз в кратчайшие сроки выделяют продукты Symantec на фоне остальных. Новая версия Symantec Endpoint Protection 14 с обновленной функциональностью Endpoint Detection and Response с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты позволяет быстро и эффективно построить комплексную систему защиты конечных точек. 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru