مزایای استفاده از symantec EDR : Symantec EDR حملات پیشرفته را با machine learning دقیق و global threat intelligence به حداقل می رساند و باعث کاهش false positives میشود و به تیم های امنیتی داشتن بازدهی بالا را اطمینان میدهد.جهت تهیه لایسنس سیمانتک edr با ما در تماس باشید.
قابلیت های Symantec EDR به پاسخ دهندگان حادثه اجازه می دهد تا در هنگام بررسی تهدیدها با استفاده از گزینه های موجود و cloud-based sandboxing، به سرعت به جستجو و شناسایی تمامی endpoint های تأثیر پذیر باشند.
همچنین ، Symantec EDR با استفاده از playbookها و تجزیه و تحلیل رفتار کاربران ، که مهارت ها و بهترین روش های تحلیل گران امنیتی با تجربه را به هر سازمانی ارائه میدهد ، بهره وری را افزایش می دهد ، در نتیجه هزینه های قابل توجهی پایین تر می آید .
علاوه بر این ، از اجرای دستورات مشکوک در power shell جلوگیری میکند
افزایش نظارت و بهره وری
Symantec EDR با اولویت بندی حوادث بر اساس ریسک ، بهره وری را افزایش می دهد.
و Symantec EDR به طور خودکار حوادثی را برای حملات هدفمند از طریق Symantec’s Target Attack Analytics و Dynamic Adversary Intelligence ایجاد می کند.
محققان می توانند برای جستجوی شاخص های حمله از Endpoint Activity Recording استفاده کرده و آنالیز endpoint را انجام دهند.
Symantec EDR از بازیابی مداوم و درخواستی برای طیف گسترده ای از رویدادها از جمله جلسه ، روند ، module load point modifications ، عملیات فایل و پوشه و تغییرات رجیستری پشتیبانی می کند.
علاوه بر این ، رویدادهای مهم شبکه با چندین پروتکل ثبت می شود (مشتریان می توانند هر پروتکل های پشتیبانی شده ای را که ترجیح میدهند ثبت کنند
رویدادهای شبکه ضبط شده شامل زمان شروع و پایان جلسه ، اولین URL مرتبط با جلسه ، پروتکل IP ، پورت IP مبدا و مقصد و موارد دیگر است.
طبق گزارش ایمن و تهدید اینترنتی سیمانتک ISTR)) ، بیش از ۲۰٪ از بدافزارها از VM آگاه هستند ، این بدان معنی است که آنها از شناسایی در sandbox سنتی فرار می کنند.
Symantec EDR شامل sandboxing میباشد که می تواند با استفاده از تکنیک های پیشرفته مانند تقلید از رفتار انسان و در صورت لزوم ، با استفاده از سرورهای فیزیکی برای بازگشایی ، می تواند تهدیدهای VM را تشخیص دهد.
Symantec EDR از ارسال خودکار پرونده های مشکوک به sandbox برای تجزیه و تحلیل پشتیبانی می کند.
تجزیه و تحلیل حمله های Cloud-based و شناسایی حملات پیشرفته Endpoint
Symantec EDR شامل تجزیه و تحلیل هدفمند حمله TAA)) است. TAA فعالیت جهانی ، خوب و بد را در تمام شرکتهایی که مجموعه دورسنجی ما را تشکیل می دهند تجزیه می کند.
الگوریتم های هوش مصنوعی cloud-based و machine learning پیشرفته ما به طور خودکار با تکنیک های جدید حمله سازگار می شوند.
TAA یک حادثه را در زمان واقعی ایجاد می کند – با تجزیه و تحلیل دقیق حمله کننده ، تکنیک ها ، ماشین های تحت تأثیر و راهنمایی های اصلاح – آن را به کنسول EDR منتقل می کند.
این روش کار را برای پاسخ دهندگان حادثه ساده می کند و بازدهی را برای کل تیم امنیتی افزایش می دهد (TAA برای مشتریانی که از Advanced Threat Protection 3.1 استفاده میکنند هزینه ای محاسبه نمیکند)
Symantec EDR همچنین از سیاست های رفتاری endpoint ، که به طور مداوم توسط محققان Symantec به روز می شود ، برای شناسایی سریع تکنیک های پیشرفته حمله ( AAT) در endpoint استفاده میکند . (بیش از ۳۵۰ مورد در حال حاضر موجود است).
این فعالیتها جزئیات فعالیتها را نشان می دهد که ممکن است حملات در حال انجام از جمله تغییرات فایل و رجیستری ، شبکه مشکوک و فعالیتهای پردازش و استفاده از Windows API خاص باشد که می تواند برای شروع یک موضوع مخرب در یک فرآیند موجود استفاده شود.
در صورتی که حوادث ردیابی شده توشط AAT برای سازمان شما طبیعی باشد می توانند در لیست سفید قرار بگیرند.
بیشتر بخوانید مزایای استفاده از symantec EDR
شکار ناهنجاری ها در Endpoints
Symantec EDR با ارائه نمای کلی نرم افزار ، حافظه ، کاربر و فعالیت پایه شبکه ، شکار مهاجمان در محیط را ساده می کند.
هنگامی که مهاجمان در محیط کار می کنند ، بدافزار و فعالیت آنها به عنوان ناهنجاری یا outliers مشخص میشود.
- Software outliers – نقاط پایانی را که دارای نرم افزار غیرمعمول هستند ، اختلافات ایجاد شده ، سیستم عامل (وصله) وصله نشده یا قدیمی را نشان میدهد.
- Memory outliers – با استفاده از ممیزی حافظه فرایند ، فایل و شی سیستم عامل و تنظیمات سیستم ، نقاط پرتوده ساکن حافظه را تشخیص دهید.
- User outliers- با تجزیه و تحلیل رفتار کاربران، مهاجمان را شناسایی می کند که به عنوان کاربران قانونی ، فعالیت غیرمعمول انجام می دهند.
- Network outliers- استفاده از تجزیه و تحلیل آماری برای شناسایی آدرس های IP غیرمعمول ، جستجوی reputation شناسایی آدرس های IP و دامنه های مرتبط با بررسی داده
این تشخیص های بیرونی از طریق سرویس های cloud-based ارائه می شوند و با استفاده از playbook ها که گزارش های خاصی را درباره انواع فعالیت های غیر عادی تولید می کنند ، در دسترس هستند.
MITRE ATT&CK Event Enrichment and Cyber Analytics
Symantec EDR ابزارهایی را برای شناسایی و شبیه سازی چرخه عمر حمله بر اساس چارچوب MITER ATT & CK فراهم می کند.
ابزار EDR روش های حمله را بر اساس تاکتیک ها و تکنیک های استاندارد در ماتریس ATT و CK توصیف می کند.
علاوه بر این ، فیلترهای سریع باعث می شود تا محققان بتوانند نتایج را در یک یا چند مرحله از چرخه حیات MITER ATT & CK شامل دسترسی اولیه ، ماندگاری ، حرکت جانبی و کنترل آسان کنند.
Symantec EDR از طریق کتابهای تحقیق خودکار از MITER Cyber Analytics پشتیبانی می کند.
MITER به سازمان ها توصیه می کند با بازجویی از اختلافات خودکار ، مکانهای مشکوک برای اجرای برنامه ، تزریق بالقوه DDL و نظارت بر رویداد SMB ، رویکرد اعتماد صفر در جمع آوری و تحقیقات ممیزی را اجرا کنند.
Symantec EDR اجرای برنامه های رفت و برگشت برنامه ریزی شده را در endpoints آسان می کند تا مشخص شود آیا با استفاده از دانش مشترک جامعه MITER از حمله های مختلف حریف ها را تشخیص داد.
تعمیر سریع و کامل Endpoint
Symantec EDR از اصلاح سریع endpoint ها ی تأثیر پذیر از جمله، حذف پرونده ، لیست سیاه و endpoint quarantine پشتیبانی می کند.
با استفاده از قابلیت های پاک کن قدرتمند که در Symantec Agent تعبیه شده است ، پاسخ دهندگان می توانند از کنسول EDR اقدامی انجام دهند و با یک کلیک چندین endpoints را اصلاح کنند.
لایسنس سیمانتک edr
