Symantec Endpoint Detection and Response

تشخیص و پاسخ نقطه پایانی

Symantec

امنیت سایبری یک اولویت اصلی برای هر کسب و کاری است که آنلاین فعالیت می‌کند. نفوذ به داده‌های یک شرکت علاوه برخدشه دار کردن نام تجاری آن می‌تواند میلیون‌ها دلار ضرر به همراه داشته باشد. یکی از راه‌‌حلها برای در امان ماندن از نشط داده و حفاظت داده‌ها، سرمایه‌گذاری در خدمات شناسایی و پاسخ دستگاه پایانی (Endpoint Detection and Response ) است. اما دقیقاً خدمات EDR چیستند و چرا باید کسب و کارها از آن‌ها استفاده کنند؟ بیایید نگاهی به نحوه کارکرد آن‌ها و مزایای بسیاری که ارائه می‌دهند بیندازیم.

 Endpoint Detection And Response چیست؟

Endpoint Detection and Response (EDR) نوعی نرم‌افزار امنیتی است که مانیتورینگ مداوم تمام دستگاه‌های پایانی در یک شبکه را فراهم می‌کند. نقاط پایانی (Endpoint) شامل لپ‌تاپ‌ها، رایانه‌های شخصی، تلفن‌های همراه، تبلت‌ها و سایر دستگاه‌های متصلی که توسط کارمندان یا مشتریان برای دسترسی به شبکه استفاده می‌شوند، هستند. این نقاط پایانی ممکن است به عنوان اهداف اصلی برای حملات سایبری به دلیل اتصال مستقیم به محیط شرکتی تبدیل شوند.

خرید Symantec EDR با شناسایی دقیق و مداوم حملات و تهدیدات، و با استفاده از اطلاعات جهانی، نفوذ را به حداقل ترین حالت ممکن رسانده و بالاترین سطوح امنیت سایبری را با ابزارهای پیشرفته بررسی پیشگیرانه و تجزیه و تحلیل تهدیدات صورت گرفته، فراهم می‌کند.

Symantec EDR

مزایای خرید Symantec EDR در یک نگاه

شناسایی و افشا کردن – زمان کشف نقض را کاهش دهید و دامنه را به
سرعت در معرض دید قرار دهید
• از یادگیری ماشین و تجزیه و تحلیل رفتاری برای افشای فعالیتهای مشکوک، شناسایی و اولویتبندی حوادث استفاده کنید.
• شناسایی و ایجاد حوادث برای اسکریپت های مشکوک و سوء استفاده های حافظه
• حمالت مبتنی بر حافظه را با تجزیه و تحلیل حافظه فرآیندی افشا کنید

راه حل – به سرعت مشکالت نقاط پایانی را برطرف کنید و اطمینان حاصل کنید که تهدید برنمی گردد.
• فایل های مخرب و ایجاد شده مرتبط را در تمام نقاط پایانی تحت تأثیر حذف کنید.
• لیست سیاه و فایل های لیست سفید در نقطه پایانی
• گزارش پیشرفته اجازه می دهد تا هر جدولی برای گزارش های حل حادثه صادر شود.

بررسی و مهار – بهره وری واکنش دهنده حادثه را افزایش دهید و از مهار تهدید اطمینان حاصل کنید.
• از پخش کامل حادثه با ضبط مداوم فعالیت نقطه پایانی، مشاهده فرآیندهای نقطه پایانی خاص اطمینان حاصل کنید.
• با جستجوی شاخص های سازش در تمام نقاط پایانی در زمان واقعی، تهدیدها را جستجو کنید.
• حاوی نقاط پایانی احتمالی در معرض خطر در طول بررسی با قرنطینه نقطه پایانی باشد.

یکپارچه سازی و خودکارسازی – دیدگاه های محقق را متحد کنید، داده ها و جریان های کاری را هماهنگ کنید.
• داده ها و اقدامات حادثه را به راحتی در زیرساخت های SOC موجود از جمله Splunk و ServiceNow ادغام کنید.
• بهترین شیوه ها و تجزیه و تحلیل بازرسان ماهر را با قوانین playbook حوادث خودکار تکرار کنید.
• با جمعآوری خودکار مصنوعات، در فعالیت نقطه پایانی دید عمیق پیدا کنید

خرید Symantec EDR

لایسنس Symantec EDR

لایسنس EDR Symantec حمالت پیشرفته را با یادگیری ماشینی دقیق و هوشمندی تهدیدات جهانی به حداقل رسانده و به تضمین سطوح باالی بهرهوری برای تیمهای امنیتی کمک میکند. قابلیتهای EDR Symantec به پاسخدهندههای حادثه اجازه میدهد تا در حین بررسی تهدیدها با استفاده از انتخابی از جعبه شنودهای داخلی و مبتنی بر ابر، به سرعت جستجو، شناسایی و حاوی تمام نقاط پایانی آسیبدیده باشند. همچنین، EDR Symantec بهرهوری محقق را با کتابهای تحقیقاتی خودکار و تجزیه و تحلیل رفتار کاربر افزایش میدهد که مهارتها و بهترین شیوههای با تجربهترین تحلیلگران امنیتی را برای هر سازمانی به ارمغان میآورد و در نتیجه هزینههای قابل توجهی کاهش مییابد. علاوه بر این، ضبط مداوم و بر اساس تقاضای فعالیت سیستم از دید کامل نقطه پایانی پشتیبانی می کند. با خرید EDR Symantec از تشخیص حمالت پیشرفته در نقطه پایانی و تجزیه و تحلیل مبتنی بر ابر برای شناسایی حمالت هدفمند مانند تشخیص رخنه، فرمان و کنترل چراغ راهنمایی، حرکت جانبی و اجرای پوسته برق مشکوک استفاده می کند.

لایسنس Symantec EDR

در مورد Symantec Endpoint Security بخوانید...

افزایش دید و بهره وری

 با خرید Symantec EDR بهره وری محقق را با اولویت بندی حوادث بر اساس خطر افزایش می دهد. و EDR Symantec به طور خودکار حوادثی را برای حمالت هدفمند ایجاد می کند که از طریق تجزیه و تحلیل حمله هدف Symantec و Dynamic Intelligence Adversary شناسایی شده اند.محققین می توانند از مزایای ثبت فعالیت نقطه پایانی برای جستجوی شاخص های حمله و انجام تجزیه و تحلیل نقطه پایانی استفاده کنند EDR Symantec .از بازیابی مداوم و بر اساس تقاضا برای طیف گسترده ای از رویدادها از جمله جلسه، فرآیند، تغییرات نقطه بار ماژول، عملیات فایل و پوشه و تغییرات رجیستری پشتیبانی می کند. عالوه بر این، رویدادهای شبکه حیاتی برای چندین پروتکل ثبت می شوند (مشتریان می توانند پروتکل های پشتیبانی شده را که ترجیح می دهند ضبط کنند، پیکربندی کنند). رویدادهای شبکه ضبط شده شامل زمان شروع و پایان جلسه، اولین URL مرتبط با جلسه، پروتکلIP ، پورت IP مبدا و مقصد و موارد دیگر است. بر اساس گزارش ایمنی و تهدید اینترنت سیمانتک(ISTR (، بیش از 20 درصد از
بدافزارها از VM آگاه هستند که به این معنی است که آنها از شناسایی در سندباکس سنتی فرار می کنند لایسنس EDR Symantec .شامل سندباکس است که می تواند با استفاده از تکنیک های پیشرفته ای که شامل تقلید از رفتار انسان و در صورت لزوم استفاده از سرورهای فیزیکی برای انفجار است، چنین تهدیدات آگاه از VM را شناسایی کند. با خرید Symantec EDR از ارسال خودکار فایل های مشکوک به sandbox برای تجزیه و تحلیل برای پشتیبانی آسوده خاطر میشوید.

تجزیه و تحلیل حمله مبتنی بر ابر و تشخیص حمله پیشرفته Endpoint

لایسنس Symantec EDR شامل تجزیه و تحلیل حمالت هدفمند (TAA) است TAA .فعالیت های جهانی، خوب و بد، را در تمام شرکت هایی که مجموعه تله متری ما را تشکیل می دهند، تجزیه و تحلیل می کند. الگوریتمهای هوش مصنوعی مبتنی بر ابر و یادگیری ماشینی پیشرفته سیمانتک بهطور خودکار با تکنیکهای حمله جدید سازگار میشوند. TAA با تجزیه و تحلیل دقیق مهاجم، تکنیکها، ماشینهای آسیبدیده و راهنماییهای اصالح، یک حادثه بالدرنگ ایجاد میکند و آن را به کنسول EDR ارسال میکند. این رویکرد تالش های واکنش دهندگان حادثه را ساده می کند و بهره وری را برای کل تیم امنیتی افزایش می دهد) TAA بدون هزینه اضافی برای مشتریان Symantecبا استفاده از 3.1 Protection Threat Advanced یا باالتر ارائه می شود.

(EDR Symantec همچنین از سیاست های رفتاری نقطه پایانی استفاده می کند که به طور مداوم توسط محققان سیمانتک به روز می شود تا تکنیک های حمله پیشرفته فورا در نقطه پایانی شناسایی کند) بیش از 350 مورد در حال حاضر موجود (AAT) را است.این شناساییها فعالیتهایی را که ممکن است نشاندهنده حمالت در حال انجام باشد، از جمله تغییرات فایل و رجیستری، فعالیتها و استفاده مشکوک در شبکه و فرآیندها را نشان میدهد. از API های خاص ویندوز که می توانند برای شروع یک رشته مخرب در یک فرآیند موجود استفاده شوند. رویدادهای خاص از شناسایی های AAT را می توان در لیست سفید قرار داد اگر مشخص شود که برای سازمان شما عادی هستند.

SEDR

با خرید Symantec EDR به دنبال ناهنجاری در نقاط پایانی باشید

لایسنس Symantec EDR با ارائه نمای کلی از نرم افزار، حافظه، کاربر و فعالیت پایه شبکه، جستجوی مهاجمان در محیط را ساده می کند. هنگامی که مهاجمان در محیط کار می کنند، بدافزار و فعالیت کاربر آنها به عنوان ناهنجاری یا پرت برجسته می شود.

 لایسنس Symantec EDR موارد پرت را در سراسر محیط نشان می دهد از جمله:

نرم افزارهای پرت – نقاط پایانی را که دارای نرم افزار غیرمعمول، اختالفات ساختمانی، نسخه های سیستم عامل (OS (اصالح نشده یا قدیمی هستند را در معرض دید قرار دهید.
نقاط پرت حافظه – با استفاده از بررسی پزشکی قانونی حافظه فرآیند، فایل و شی سیستم عامل و تنظیمات سیستم، نقاط پرت ساکن حافظه را شناسایی کنید.
نقاط پرت کاربر – تجزیه و تحلیل رفتار کاربر، مهاجمانی را شناسایی می کند که به عنوان کاربران قانونی فعالیت غیرعادی انجام می دهند
نقاط پرت شبکه – از تجزیه و تحلیل آماری برای شناسایی آدرسهای IP غیرعادی استفاده کنید، جستجوی شهرت آدرسهای IP و دامنههای مرتبط با استخراج دادهها را شناسایی کنید.

این تشخیصهای پرت از طریق سرویس مبتنی بر ابر ارائه میشوند و با استفاده از playbookهای داخلی و سفارشی که گزارشهای خاصی را در مورد طیف گستردهای از فعالیتهای غیرعادی تولید میکنند، در دسترس هستند.

Symantec EDR

مولفه‌های اصلی امنیت سایبری در Symantec EDR

Identify : یک ارزیابی داخلی از شبکه سازمان انجام داده، تهدیدات و اهداف امنیتی  را شناسایی کرده و بر اساس نیازهای مرتبط با کسب و کارتان، یک استراتژی مدیریت ریسک ایجاد می‌کند.

Protect : نقطه کنترل شبکه Symantec EDR جریان داده‌های ورودی را هنگام عبور از شبکه تجزیه و تحلیل می‌کند و از این اطلاعات برای ایجاد تدابیر در یافتن تهدیدات بالقوه در محیط  کمک کند. وقتی سیمانتک EDR را برای استفاده در حالت عملیات بلوک درون خطی پیکربندی می کنید، Symantec EDR دسترسی به فایل‌ها و کامپیوترهای خارجی که به عنوان مخرب شناخته می‌شوند را مسدود می‌کند. شما می‌توانید از طریق سیاست‌های لیست امتناع و لیست اجازه کنترل بیشتری بر فایل‌ها و وب‌سایت‌هایی که Symantec EDR مسدود می‌کند یا مسدود نمی‌کند، داشته باشید.

همچنین با ادغام Symantec EDR با SEP، می‌توانید کنترل وظایف اصلاحی را از طریق کنسول دستگاه EDR (مانند حذف فایل‌های آلوده) انجام دهید.

Detect : وقتی نقطه کنترل شبکه Symantec EDR را با SEP و Email Security.cloud ادغام می‌شود، سرویس ابری Synapse می‌تواند رویدادهای هر سه محصول را به یکدیگر مرتبط کند و تصویر جامعی از همه تهدیدهای شبکه، نقاط پایانی و سیستم ایمیل را ارائه دهد.

لایسنس Symantec EDR تهدیدات شناسایی شده را در داشبورد و مدیر رخداد و به ترتیب زمانی نشان می‌دهد.

از Symantec EDR برای جستجوی شاخص‌های تخریب (IOC) و یافتن artifacts استفاده می‌شود. Symantec EDR می‌تواند این موارد را در پایگاه داده Symantec EDR و در نقاط پایانی جستجو کند. همچنین اگر ضبط ‌کننده فعالیت نقاط پایانی فعال شود، می‌توان در داخل ضبط ‌کننده فعالیت نقاط پایانی هم جستجو کرد.

با خرید Symantec EDR به طور خودکار اعلان‌ها را در هنگام وقوع حوادث به شما ارسال میشود. علاوه بر این رویدادها را به syslog نیز وارد کرده و از این طریق می‌توان آن‌ها را به سیستم مدیریت اطلاعات و رویدادهای امنیتی خود (SIEM) وارد کرد.

Respond : امکان پاک سازی و رفع مشکل را با یک کلیک را فراهم می‌کند که در سراسر نقاط پایانی، شبکه و کنترل ایمیل اعمال می‌شود. به عنوان مثال، شما می‌توانید یک فایل مخرب را از یک نقطه پایانی حذف کنید یا یک نقطه پایانی نفوذی را جدا کنید.

Recover : پس از اینکه تهدیدی مهار شد، به صورت اصولی پیگیری و تحلیل انجام میشود که نقض چگونه رخ داده است و برای جلوگیری از تهدیدهای مشابه در آینده چگونه باید عمل شود.

همچنین گزارش‌های ارائه شده، برای تجزیه و تحلیل تعداد و انواع حملاتی که در محیط شما رخ داده است، بسیارمفید هستند.

SONAR

 SEP شامل تکنولوژی SONAR یا Symantec Online Network for Advanced Response جهت پردازش رفتار مربوط به شناسایی و درمان می باشد. در هر صورت SEP قادر به مشاهده جزییات نمی باشد. در صورتی که شما SEP  و EDR را با هم ادغام کنید،EDR  به قدرت دید Sonar در SEP عمق می دهد. Sonar توانایی اکتشاف تغییرات به عمل آمده بر روی Managed Endpoint را خواهد داشت.

Sonar از سیستم اکتشافی که هوش مصنوعی آنلاین سیمنتک به همراه نظارت محلی SEP برای شناسایی تهدیدات ناگهانی استفاده می کند. Sonar قابلیت شناسایی نوع Application را ندارد اما نحوه رفتار آن را پردازش می کند.

Symantec Email Threat Detection and Response

با Symantec Email Security cloud جهت شناسایی حملات وارده از طریق ایمیل ادغام می‌شود. EDR -Symantec Endpoint Detection and Response  جهت ارتباط رویداد های شبکه با رویدادهای ایمیل، رویدادWeb و دیتا رویداد Endpoint از Synapse استفاده می کند. موتور ارتباط Synapse به صورت خودکار رویدادها را با SEP، Email Security Cloud ،Web Security Cloud و Symantec EDR  جهت کاهش میزان هشدار های امنیتی، مطابقت می دهد. همانطوری که Incident شناسایی شده، مرتبط با Incident های دیگر کشف شده در شبکه جهت نمایش الگوی های کلی حمله و اولویت بندی بیشترین تهدید های قابل توجه شده است.

Vantage : یک موتور شناسایی Signature-based می باشد که تهدیدات را در جریان شبکه جستجو می کند.

Insight: Insight : به بزرگترین پایگاه داده‌های اعتبار دنیا دسترسی دارد و اطلاعات اعتباری درباره بیش از ۸ میلیارد فایل را دارد. این سرویس اطلاعات درباره فایل‌های اجرایی ویندوز را که در نقاط پایانی مشاهده شده‌اند، جمع‌آوری می‌کند.

Mobile Insight : Mobile Insight تحلیل‌های مشابه فایل‌های اجرایی ویندوز را برای برنامه‌های اندروید انجام می‌دهد. علاوه بر این جهت مقابله و شناسایی بد افزار، Mobile Insight مشکلات مربرط به عملکرد و حریم خصوصی را تشخیص می دهد.

Antivirus Engine : موتور آنتی ویروس از تکنولوژی Signature-base جهت شناسایی بد افزارها استفاده مـــی کند.

Sandboxing : تکنولوژی Sandboxing از یک محیط مجازی به نام Sandbox جهت آنالیز نتیجه فایل و گزارش رفتار در هر مرحله استفاده می کند. مجهز به تکنولوژی یادگیری ماشین می باشد. در نهایت داده‌های شما را با داده‌های واقعی دنیا تهیه شده توسط Symantec Global Intelligence Network  جهت تشخیص مخرب بودن آن، منطبق می کنند.

Blacklists and Whitelists : بر روی Symantec ATP appliances  که به طور منظم بروزرسانی می‌شوند، تشخیص را تسریع می‌کنند و عملکرد را بهینه می‌کنند. همچنین می‌توانید لیست‌های رد و اجازه سفارشی ایجاد کنید و از طریق سیمانتک EDR نگهداری کنید.

جهت کسب اطلاعات بیشتر و ارتباط با کارشناسان تماس حاصل فرمایید.

۰۲۱۸۸۸۰۴۹۶۱ , ۰۲۱۷۴۳۹۱۱۰۱

اطلاعات بیشتر...