Перейти к содержанию
AM_Bot

Как работает Symantec Endpoint Detection and Response

Recommended Posts

AM_Bot
Как работает Symantec Endpoint Detection and Response
Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение в версии 14.1—  улучшение интеграции Endpoint Detection and Response с модулем анализа и поиска угроз Advanced Threat Protection, который также был обновлен до версии 3.0. В статье рассмотрим подробнее эту технологию.    ВведениеСистемные требованияВозможности Symantec Endpoint Detection and Response и Symantec Advanced Threat ProtectionКак работает Symantec Endpoint Detection and ResponseВыводы ВведениеКомпания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Весной этого года мы публиковали подробный обзор четырнадцатой версии продукта. Основное изменение в версии 14.1 — новая версия Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint) версии 3.0. Endpoint Detection and Response не является самостоятельным продуктом, это сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищенности сети. EDR собирает данные по различным параметрам — информацию о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и другие данные. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты.ATP:Endpoint — это виртуальный или физический аплайнс, работающий внутри периметра компании, который получает информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. Он выявляет угрозы и приоритизирует инциденты путем анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы в один клик. ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в песочнице. В качестве песочницы может быть использован облачный сервис Cynic, который входит в ATP, или локальная песочница Symantec Content Analysis System версии 2.2 и выше с опцией Malware Analysis, которая лицензируется отдельно от ATP.Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединен вместе c ATP:Endpoint в одном аплайнсе. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путем совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях. Системные требованияДля работы модуля Endpoint Detection and Response необходимо наличие установленного продукта Symantec Endpoint Protection версии 12.1 и старше, максимальная функциональность (EDR 2.0) поддерживается только в версии 14.1. Системные требования к Symantec Endpoint Protection мы подробно описывали в прошлом обзоре. Поддерживается работа на всех операционных системах, где доступен Symantec Endpoint Protection — MS Windows, macOS и Linux, однако максимальная функциональность доступна только на агентах MS Windows.Для работы EDR необходимо наличие развернутого продукта Symantec Advanced Threat Protection, который поставляется в виде аппаратного или виртуального аплайнса. Существует два варианта аппаратных платформ, но полнофункциональная работа с EDR 2.0 поддерживается только в модели 8880-30, виртуальный аплайнс работает с EDR без ограничений.Минимальные требования к виртуальной инфраструктуре для развертывания Symantec Advanced Threat Protection:Система виртуализации VMware ESXiКоличество процессоров — 12Оперативная память — 48 ГбОбъем жесткого диска — 1 ТбКоличество сетевых интерфейсов 1 Гб/сек — 2 Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat ProtectionВ основе алгоритмов работы ATP — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:Исследование активности в системеEDR передает в ATP данные о событиях в системе, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создается база данных, по которой можно проводить расследования инцидентов. При корреляции определенных событий создается инцидент, причем все инциденты приоритизируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.ПесочницаATP использует песочницу (Sandbox) для анализа подозрительных приложений. Когда в ATP попадает информация о хеше файла, ATP анализирует его репутацию на основе глобальной сети Global Intelligence Network (GIN). Файл, у которого репутация отсутствует, считается подозрительным. При использовании модуля ATP:Network и ATP:Email, где имеется непоследственный доступ к контенту анализируемого файла, подозрительный файл автоматически отправляется на проверку в песочницу. При использовании модуля ATP:Endpoint для анализа файла в песочнице необходимо дать команду на загрузку файла на конечной точке и отправку его в песочницу. В случае «детонации» файла в песочнице файл может быть сразу же заблокирован на всех рабочих местах в сети.Использование глобальной сети GINСистемы ATP, установленные у разных заказчиков, активно взаимодействует с глобальной сетью GIN и производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec. Рисунок 1. Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response  Оперативная реакцияВ случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. С помощью централизованной консоли управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, и команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.Корреляция событий между различными продуктами SymantecВ контур мониторинга ATP помимо конечных точек с EDR входят все продукты Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, и систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.Интеграция с другими средствами защитыВ продукте Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-системами Splunk и QRadar, а также с системой обслуживания инфраструктуры ServiceNow. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с продуктами Symantec. Как работает Symantec Endpoint Detection and ResponseУправление Endpoint Detection and Response осуществляется из единой консоли Advanced Threat Protection вместе с другими модулями системы. На главном экране ATP представлен дашборд по всей системе защиты с графиком возникновения событий, статистикой и информацией о количестве угроз. Рисунок 2. Главный экран управления Symantec Advanced Threat Protection и Endpoint Detection and Response  В боковом меню представлены основные разделы — поиск, главный экран, инциденты, события, отчеты, настройки и т. д. При переходе в раздел инцидентов отображается график возникновения проблем по времени и перечень последних обнаруженных проблем. Для реагирования на инциденты нужно выбрать одно из событий в списке и перейти к его просмотру. Рисунок 3. Список последних инцидентов в Symantec Advanced Threat Protection и Endpoint Detection and Response  На экране просмотра инцидента отображается вся информация по событию — описание проблемы, рекомендации по устранению, уровень критичности, определение направленной атаки, дата и время возникновения инцидента и его статус. В отдельном блоке осуществляется визуализация событий, которые были учтены при определении угрозы — схематичное изображение рабочих мест, сетевых устройств, файлов и других элементов.Инциденты подразумевают ручное принятие решения, поэтому у них есть статус — открытый или закрытый. После изучения деталей инцидента специалист по безопасности может выполнить различные действия — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным событиям. После принятия решения инцидент закрывается и пропадает из общей выдачи экрана с инцидентами. Рисунок 4. Детальная информация по инциденту в Symantec Advanced Threat Protection и Endpoint Detection and Response  Все события могут быть открыты для детального изучения. Например, в случае с обнаружением потенциально вредоносной программы доступны полная информация по исполняемому файлу, данные о его репутации в глобальной сети Symantec, данные из песочницы об активности в изолированной среде и информация о действиях в реальных системах. Из интерфейса управления можно выполнить некоторые действия с файлом — собрать его дамп, добавить в список угроз или исключений, запустить в песочнице (если файл еще не исследован в ней), проверить в онлайн-базе VirusTotal, скопировать файл для ручного изучения или удалить его. Рисунок 5. Детальная информация по анализу потенциально вредоносных файлов в Symantec Advanced Threat Protection и Endpoint Detection and Response  В системе управления ATP присутствует глобальный поиск — по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам. С помощью поиска можно эффективно организовать расследование различных инцидентов нарушения безопасности.Для руководителей будет полезна функциональность отчетов — возможность собрать и визуализировать основные метрики по работе системы, реакции специалистов по безопасности и уровню защищенности инфраструктуры. ВыводыКомпания Symantec в очередной раз подтверждает свой статус одного из лидеров на рынке защиты конечных точек. Концентрация на безсигнатурной защите, использовании частного и глобального облаков и объединение всей системы защиты в единый механизм для поиска и устранения угроз в кратчайшие сроки выделяют продукты Symantec на фоне остальных. Новая версия Symantec Endpoint Protection 14 с обновленной функциональностью Endpoint Detection and Response с использованием единого агента, локальными и централизованными механизмами защиты, поддержкой различных платформ и интеграций с другими средствами защиты позволяет быстро и эффективно построить комплексную систему защиты конечных точек. 

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Сергей Ильин
      И правильно   А главное используйте современную версию  ОС, устанавливайте все обновления  (особенно браузера) и не работайте под админом.
    • Сергей Ильин
      К сожалению, не все так просто. Можно ничего не качать и спокойно заразиться вирусом, просто зайдя в любимый сайт, или сёрфя в интернете. Ну или кликнув на ссылку в фишинговом письме. Поэтому всегда будут заражения, кражи денег, шифровальщики и тп
    • Сергей Ильин
      Так и есть. Потому что почти все антивирусные вендоры забили на анализ упакованных объектов. И их можно понять - смысла нет. Некоторые упаковщики сразу детектятся как подозрительные, неважно что там внутри. А все остальное детектится после распаковки и во время запуска у пользователя.    А вот это неверное. Видно, что автор не совсем понимает как работают те же песочницы и поведенческий анализ. Они никакой неразберихи не добавляют, а как раз позволяют обнаружить "неизвестные" сигнатурному движку угрозы по специфическому поведению.
    • Сергей Ильин
      Открыл офис и нанял сотрудников зачем? И что они должны успевать?
    • Сергей Ильин
      Все общение с форума перешло в соцсети. В Facebook, Twitter, Вконтакте все довольно активно. Если здесь интересно общаться, то это можно возобновить, но для этого нужны активные люди. Сейчас почти все слились, только потребляют инфу, но не генерируют ее.

      На самом сайте все прекрасно, аудитория растет, контента намного больше, чем было в прошлые годы
×