تشخیص و پاسخ نقطه پایانی Symantec
دریک نگاه
شناسایی و افشا کردن – زمان کشف نقض را کاهش دهید و دامنه را به سرعت در معرض دید قرار دهید
- از یادگیری ماشین و تجزیه و تحلیل رفتاری برای افشای فعالیتهای مشکوک، شناسایی و اولویتبندی حوادث استفاده کنید.
- شناسایی و ایجاد حوادث برای اسکریپت های مشکوک و سوء استفاده های حافظه
- حملات مبتنی بر حافظه را با تجزیه و تحلیل حافظه فرآیندی افشا کنید
بررسی و مهار – بهره وری واکنش دهنده حادثه را افزایش دهید و از مهار تهدید اطمینان حاصل کنید
- از پخش کامل حادثه با ضبط مداوم فعالیت نقطه پایانی، مشاهده فرآیندهای نقطه پایانی خاص اطمینان حاصل کنید
- با جستجوی شاخص های سازش در تمام نقاط پایانی در زمان واقعی، تهدیدها را جستجو کنید
- حاوی نقاط پایانی احتمالی در معرض خطر در طول بررسی با قرنطینه نقطه پایانی باشد
راه حل – به سرعت مشکلات نقاط پایانی را برطرف کنید و اطمینان حاصل کنید که تهدید برنمی گردد
- فایل های مخرب و ایجاد شده مرتبط را در تمام نقاط پایانی تحت تأثیر حذف کنید
- لیست سیاه و فایل های لیست سفید در نقطه پایانی
- گزارش پیشرفته اجازه می دهد تا هر جدولی برای گزارش های حل حادثه صادر شود
یکپارچه سازی و خودکارسازی – دیدگاه های محقق را متحد کنید، داده ها و جریان های کاری را هماهنگ کنید
- داده ها و اقدامات حادثه را به راحتی در زیرساخت های SOC موجود از جمله Splunk و ServiceNow ادغام کنید
- بهترین شیوه ها و تجزیه و تحلیل بازرسان ماهر را با قوانین playbook حوادث خودکار تکرار کنید
- با جمعآوری خودکار مصنوعات، در فعالیت نقطه پایانی دید عمیق پیدا کنید
شرکت ها به طور فزاینده ای در معرض تهدید حملات پیچیده قرار دارند. در واقع، تحقیقات نشان داده است که تهدیدها در داخل وجود دارند.
محیط یک مشتری به طور متوسط 190 روز است.این تهدیدات پایدار پیشرفته از تکنیک های پنهانی برای فرار از شناسایی و دور زدن دفاع های امنیتی سنتی استفاده می کنند. هنگامی که یک حمله پیشرفته به محیط مشتری دسترسی پیدا می کند.
مهاجم ابزارهای زیادی برای فرار از شناسایی و شروع به بهره برداری از منابع و داده های ارزشمند دارد.
تیمهای امنیتی هنگام تلاش برای شناسایی و افشای کامل گستره یک حمله پیشرفته با چالشهای متعددی مواجه میشوند، از جمله جستجوی دستی از طریق منابع دادهای بزرگ و متفاوت، عدم مشاهده نقاط کنترل بحرانی، هشدار خستگی ناشی از مثبت کاذب، و مشکل در شناسایی و رفع نقاط پایانی تأثیرگذار.
راه حل Symantec EDR
Symantec EDR حملات پیشرفته را با یادگیری ماشینی دقیق و هوشمندی تهدیدات جهانی به حداقل رسانده و به تضمین سطوح بالای بهرهوری برای تیمهای امنیتی کمک میکند. قابلیتهای Symantec EDR به پاسخدهندههای حادثه اجازه میدهد تا در حین بررسی تهدیدها با استفاده از انتخابی از جعبهشنودهای داخلی و مبتنی بر ابر، به سرعت جستجو، شناسایی و حاوی تمام نقاط پایانی آسیبدیده باشند. همچنین، Symantec EDR بهرهوری محقق را با کتابهای تحقیقاتی خودکار و تجزیه و تحلیل رفتار کاربر افزایش میدهد که مهارتها و بهترین شیوههای با تجربهترین تحلیلگران امنیتی را برای هر سازمانی به ارمغان میآورد و در نتیجه هزینههای قابل توجهی کاهش مییابد.
علاوه بر این، ضبط مداوم و بر اساس تقاضای فعالیت سیستم از دید کامل نقطه پایانی پشتیبانی می کند. Symantec EDR از تشخیص حملات پیشرفته در نقطه پایانی و تجزیه و تحلیل مبتنی بر ابر برای شناسایی حملات هدفمند مانند تشخیص رخنه، فرمان و کنترل چراغ راهنمایی، حرکت جانبی و اجرای پوسته برق مشکوک استفاده می کند.
افزایش دید و بهره وری
Symantec EDR بهره وری محقق را با اولویت بندی حوادث بر اساس خطر افزایش می دهد. و Symantec EDR به طور خودکار حوادثی را برای حملات هدفمند ایجاد می کند که از طریق تجزیه و تحلیل حمله هدف Symantec و Dynamic Adversary Intelligence شناسایی شده اند.
محققین می توانند از مزایای ثبت فعالیت نقطه پایانی برای جستجوی شاخص های حمله و انجام تجزیه و تحلیل نقطه پایانی استفاده کنند. Symantec EDR از بازیابی مداوم و بر اساس تقاضا برای طیف گسترده ای از رویدادها از جمله جلسه، فرآیند، تغییرات نقطه بار ماژول، عملیات فایل و پوشه و تغییرات رجیستری پشتیبانی می کند. علاوه بر این، رویدادهای شبکه حیاتی برای چندین پروتکل ثبت می شوند (مشتریان می توانند پروتکل های پشتیبانی شده را که ترجیح می دهند ضبط کنند، پیکربندی کنند). رویدادهای شبکه ضبط شده شامل زمان شروع و پایان جلسه، اولین URL مرتبط با جلسه، پروتکل IP، پورت IP مبدا و مقصد و موارد دیگر است.
بر اساس گزارش ایمنی و تهدید اینترنت سیمانتک (ISTR)، بیش از 20 درصد از بدافزارها از VM آگاه هستند که به این معنی است که آنها از شناسایی در سندباکس سنتی فرار می کنند. Symantec EDR شامل سندباکس است که می تواند با استفاده از تکنیک های پیشرفته ای که شامل تقلید از رفتار انسان و در صورت لزوم استفاده از سرورهای فیزیکی برای انفجار است، چنین تهدیدات آگاه از VM را شناسایی کند. Symantec EDR از ارسال خودکار فایل های مشکوک به sandbox برای تجزیه و تحلیل پشتیبانی می کند.
تجزیه و تحلیل حمله مبتنی بر ابر و تشخیص حمله پیشرفته Endpoint
Symantec EDR شامل تجزیه و تحلیل حملات هدفمند (TAA) است. TAA فعالیت های جهانی، خوب و بد، را در تمام شرکت هایی که مجموعه تله متری ما را تشکیل می دهند، تجزیه و تحلیل می کند. الگوریتمهای هوش مصنوعی مبتنی بر ابر و یادگیری ماشینی پیشرفته سیمانتک بهطور خودکار با تکنیکهای حمله جدید سازگار میشوند. TAA با تجزیه و تحلیل دقیق مهاجم، تکنیکها، ماشینهای آسیبدیده و راهنماییهای اصلاح، یک حادثه بلادرنگ ایجاد میکند و آن را به کنسول EDR ارسال میکند. این رویکرد تلاش های واکنش دهندگان حادثه را ساده می کند و بهره وری را برای کل تیم امنیتی افزایش می دهد( TAA بدون هزینه اضافی برای مشتریان Symantec با استفاده از Advanced Threat Protection 3.1 یا بالاتر ارائه می شود.)
Symantec EDR همچنین از سیاست های رفتاری نقطه پایانی استفاده می کند که به طور مداوم توسط محققان سیمانتک به روز می شود تا تکنیک های حمله پیشرفته (AAT) را فوراً در نقطه پایانی شناسایی کند (بیش از 350 مورد در حال حاضر موجود است). این شناساییها فعالیتهایی را که ممکن است نشاندهنده حملات در حال انجام باشد، از جمله تغییرات فایل و رجیستری، فعالیتها و استفاده مشکوک در شبکه و فرآیندها را نشان میدهد.
از API های خاص ویندوز که می توانند برای شروع یک رشته مخرب در یک فرآیند موجود استفاده شوند. رویدادهای خاص از شناسایی های AAT را می توان در لیست سفید قرار داد اگر مشخص شود که برای سازمان شما عادی هستند.
به دنبال ناهنجاری در نقاط پایانی باشید
Symantec EDR با ارائه نمای کلی از نرم افزار، حافظه، کاربر و فعالیت پایه شبکه، جستجوی مهاجمان در محیط را ساده می کند. هنگامی که مهاجمان در محیط کار می کنند، بدافزار و فعالیت کاربر آنها به عنوان ناهنجاری یا پرت برجسته می شود.
Symantec EDR موارد پرت را در سراسر محیط نشان می دهد از جمله:
- نرم افزارهای پرت – نقاط پایانی را که دارای نرم افزار غیرمعمول، اختلافات ساختمانی، نسخه های سیستم عامل (OS) اصلاح نشده یا قدیمی هستند را در معرض دید قرار دهید.
- نقاط پرت حافظه – با استفاده از بررسی پزشکی قانونی حافظه فرآیند، فایل و شی سیستم عامل و تنظیمات سیستم، نقاط پرت ساکن حافظه را شناسایی کنید.
- نقاط پرت کاربر – تجزیه و تحلیل رفتار کاربر، مهاجمانی را شناسایی می کند که به عنوان کاربران قانونی فعالیت غیرعادی انجام می دهند
- نقاط پرت شبکه – از تجزیه و تحلیل آماری برای شناسایی آدرسهای IP غیرعادی استفاده کنید، جستجوی شهرت آدرسهای IP و دامنههای مرتبط با استخراج دادهها را شناسایی کنید.
این تشخیصهای پرت از طریق سرویس مبتنی بر ابر ارائه میشوند و با استفاده از playbook های داخلی و سفارشی که گزارشهای خاصی را در مورد طیف گستردهای از فعالیتهای غیرعادی تولید میکنند، در دسترس هستند.
غنیسازی رویداد MITER ATT&CK و تجزیه و تحلیل سایبری
Symantec EDR ابزارهایی را برای شناسایی و تجسم چرخه حیات حمله بر اساس چارچوب MITER ATT&CK ارائه می دهد. EDR(MITER یک سازمان غیرانتفاعی که در سازمان دولتی و عمومی/خصوصی برای رسیدگی به مسائل مربوط به امنیت آنلاین کار می کند)
ابزار روش های حمله را بر اساس تاکتیک ها و تکنیک های استاندارد در ماتریس ATT&CK توصیف می کند. علاوه بر این، فیلترهای سریع، محدود کردن نتایج را به یک یا چند مرحله از چرخه حیات MITER ATT&CK از جمله دسترسی اولیه، پایداری، حرکت جانبی و فرمان و کنترل را برای محققین آسان میکند.
به طور حیاتی، Symantec EDR از MITER Cyber Analytics از طریق کتابهای تحقیق خودکار پشتیبانی میکند MITER .به سازمانها توصیه میکند با تحقیق از تفاوتهای AutoRun، مکانهای اجرای مشکوک، تزریقهای بالقوه DDL و نظارت بر رویداد SMB، رویکردی با اعتماد صفر برای جمعآوری و پیگرد قانونی اجرا کنند، Symantec EDR این کار را آسان می کند.
پاک سازی های برنامه ریزی شده را در نقاط پایانی اجرا کنید تا مشخص شود آیا می توان هر گونه حمله را با استفاده از دانش رایج جامعه مدل های مخالف MITER شناسایی کرد.
تعمیر کامل و سریع نقطه پایانی
Symantec EDR از اصلاح سریع نقاط پایانی آسیب دیده از جمله حذف فایل، لیست سیاه و قرنطینه نقطه پایانی پشتیبانی می کند. با استفاده از قابلیتهای پاککن قدرتمند تعبیهشده در Symantec Agent، پاسخدهندگان میتوانند از طریق کنسول EDR اقدام کنند و با یک کلیک یک اصلاح را در چندین نقطه پایانی اعمال کنند.
خودکارسازی پالیسی ها
Symantec EDR از playbook ها پشتیبانی میکند که گردش کار پیچیده و چند مرحلهای بررسی تحلیلگران امنیتی را خودکار میکند. playbook ها داخلی به سرعت رفتارهای مشکوک، تهدیدات ناشناخته، حرکت جانبی و نقض سیاستها را آشکار میکنند. Symantec EDR شامل مجموعه گسترده ای از playbook ها برای شناسایی تاکتیک های “Living off the Land” (LOTL) از جمله استفاده از ابزارهای قانونی برای پنهان کردن حملات در فعالیت های عادی است. اکنون بیش از 50 مورد از این playbook های LOTL را پشتیبانی می کند. playbook های انتخابی را میتوان برای اجرا در تاریخ، زمان یا فاصله زمانی مشخص برنامهریزی کرد.
تیم امنیتی میتواند playbook ها را مشاهده کند تا تکنیکهای شکار و تحقیق را بیاموزد. علاوه بر این، محققان میتوانند playbook ها خود را برای خودکارسازی بهترین شیوهها و مستندسازی سناریوهای شکار تهدید خاص ایجاد کنند.
گزینه های استقرار انعطاف پذیر
Symantec EDR یک راه حل انعطاف پذیر است که می تواند در محل یا در فضای ابری مستقر شود. مشتریان Symantec Endpoint میتوانند از قابلیتهای EDR یکپارچه در معماری Symantec Single Agent استفاده کنند. با استفاده از ابزار EDR، سازمانها میتوانند به سرعت EDR را در محیطهای داخلی Symantec Endpoint مستقر کنند. علاوه بر این، مشتریان میتوانند ماژولهایی اضافه کنند که قابلیت مشاهده و ارتباط رویدادهای شبکه و ایمیل را فراهم میکنند(ماژول ایمیل به Symantec Email Security.cloud نیاز دارد.)
نقاط پایانی با یا بدون نصب Symantec Agent میتوانند از پورتال مبتنی بر ابر EDR برای تجزیه و تحلیل دادههای سایبری، تجزیه و تحلیل پزشکی قانونی و اتوماسیون تحقیقات با استفاده از یک عامل قابل حل و سرور جمعآوری در محل (یا عامل خدمات مجموعه اختیاری) استفاده کنند. قابلیتهای EDR مبتنی بر ابر سیمانتک در عرض چند دقیقه گسترش مییابد و به سرعت دادهها را از نقاط پایانی جمعآوری میکند، بدون اینکه تأثیری بر تجربه کاربر نهایی داشته باشد.
تیم عملیات امنیتی خود را گسترش دهید
سرویس تشخیص و پاسخ مدیریت نقطه پایانی Symantec تضمین میکند که شرکتها در هر اندازه میتوانند قابلیتهای تیمهای SOC موجود را گسترش دهند یا از تحلیلگران SOC کلاس جهانی Symantec برای استفاده کامل از Symantec برای تریاژ حادثه، شکار تهدید، تجزیه و تحلیل پیگرد قانونی و مهار نقطه پایانی استفاده کنند.
ارائه تخصص بی نظیر و مقیاس جهانی برای تیم های امنیتی با موارد زیر :
- 24 x 7تیم اختصاصی از تحلیلگران که بر اساس تمرکز جغرافیایی و صنعتی مشتریان
- شکار تهدید پیشگیرانه برای به حداقل رساندن تأثیر تجاری تهاجمات احتمالی
- انتقال یکپارچه از سرویس مدیریت EDR به یک تعامل واکنش به حادثه در صورت لزوم
در ترکیب با ابزار Symantec EDR، مدیریت EDR تخصص بیشتر و پوشش جهانی را که بسیاری از تیمهای عملیات امنیتی نیاز دارند، اضافه میکند.
افزایش سرمایه گذاری های امنیتی
رویکرد دفاع سایبری یکپارچه سیمانتک سرمایه گذاری موجود سازمان شما را در زیرساخت های امنیتی افزایش می دهد.
راهحلهای Symantec EDR با ابزارهای عملیات امنیتی، از طریق جمعآورندهها یا APIهای تبادل دفاع سایبری یکپارچه سیمانتک (ICDx)، برای مدیریت رویداد و حوادث، ticketing، اتوماسیون و هماهنگسازی از جمله:
- برنامه های از پیش ساخته شده برای Splunk، IBM QRadar و ServiceNow
- اتوماسیون و ارکستراسیون یکپارچه با استفاده از Phantom، Demisto و CyberSponse
- API های عمومی که قابلیت های تشخیص، بررسی و پاسخ را پوشش می دهند
الزامات و گواهینامه تشخیص و پاسخ نقطه پایانی Symantec
برای نیازهای کامل Symantec EDR به صفحات نیازمندی های سیستم مراجعه کنید:
https://www.symantec.com/products/ endpoint-detection-and-response#requirements
Symantec EDR is ISO 27001 Certified.
برای کسب اطلاعات بیشتر در مورد Symantec EDR، ICDx و Symantec Managed EDR از صفحات محصول بازدید کنید:
https://go.symantec.com/edr https://go.symantec.com/managed-edr
https://www.symantec.com/theme/integrated-cyber- defense-exchange
رایان سامانه آرکا ارائه دهنده راهکارهای امنیت شبکه سازمانی