(Symantec Endpoint Detection and Response (symantec edr مكمل وظیفه امنیتی مهمی را در شبکه شما جهت شناسایی، محافظت و پاسخ به تهدیدات پيشرفته در لايه endpoint را بر عهده دارد و با Symantec endpoint Protection تلفيق مي شود. جهت تهیه لایسنس Symantec EDR سیمانتک با ما در تماس باشید .
با توجه به اینکه:
- گسترش و تغییر ماهیت حمله ها: در سال 2018 استفاده مخربانه از Powershell 1000 درصد گسترش داشته است.
- مدت زمان نسبتا زیاد شناسایی تهدیدات و اقدام مقتضی: به طور متوسط 191 روز طول می کشد که حمله کننده در داخل شبکه شناسایی شود.
- استخدام مشکل کارمندان حرفه ای امنیت
- ابزارهای غیر یکپارچه و ناقص هزینه و پیچیدگی مجموعه را افزایش می دهند: 64 درصد سازمان ها معتقد هستند که توانایی آن ها در کشف و پاسخ به تهدید ها محدود است.
- دستگاه های Endpoint فوق العاده متنوع هستند.
با این شرایط راه بهتری وجود خواهد داشت:
راهی که تصویر کاملی از Attack انجام شده نشان داده شده و فهمانده شود. Symantec Endpoint Detection and Response – EDR پیچیدگی را از بین برده و به شما کمک می کند تا ریشه حملات را پیدا کرده و متوقف کنید.
فهرست مطالب
مزیت های استفاده از Symantec EDR سیمانتک:
Detect and Expose:
- کاهش زمان شناسایی
- استفاده از هوش مصنوعی و یادگیری ماشین و تحلیل رفتاری
- شناسایی خودکار و ایجاد Incident جهت متوقف کردن scripts و memory exploits مشکوک
- شناسایی حملات مبتنی بر حافظه به وسیله تحلیل پردازش حافظه
Investigate and Contain:
- افزایش بهره وری incident responder و اطمینان از مهار خطرات threat
- برخورداری از قدرت کشف حداکثری با قابلیت مانیتور فعالیت های سیستم
- از بین بردن تهدید با قابلیت جستجوی indicators سرتاسر Endpoint
- نگهداری Endpoint ها به صورت سازش گر در حالت اکتشاف تهدید به وسیله قرنطینه Endpoint
Resolve:
- برطرف کردن سریع تهدید و اطمینان از عدم بازگشت آن
- پاک سازی فایل های مخرب و تاثیرات آن بر روی Endpoint
- ایجاد Blacklist و Whitelist بر روی Endpoint
- گزارش گیری پیشرفته برای برطرف شدن هر Incident
Integrate and Automate:
- ادغام آسان داده های incident و اقدامات در زیرساخت های موجود SOC
- Replicate شدن Best Practice و آنالیز های انجام شده توسط قابلیت کشف تهدید به وسیله incident خودکار
- برخورداری از قابلیت دید وسیع Endpoint ها در رصد فعالیت ها
500 متخصص امنیتی، 15 سال سابقه در مانیتور و کشف و اقدام علیه تهدید و همینطور اختصاص تیم جهانی تحلیلگر به هر مشتری که در 6 مرکز عملیات امنیتی جهانی مستقر شده جهت فراهم کردن پشتیبانی 24*7 از دیگر مزایای استفاده از محصول EDR شرکت Broadcom می باشد.
Symantec Endpoint Detection and Response، وظیفه امنیتی مهمی را در شبکه شما جهت شناسایی، محافظت و پاسخ به تهدیدات بر عهده دارد. EDR از نقاط کنترلی زیر تشکیل شده است:
- Symantec EDR Network Sensor:
جریان شبکه را به صورت در لحظه بر روی کلیه پورت ها و پروتکل های اینترنت پردازش کرده و آن را از طریق فیلتر های متنوعی عبور می دهد. EDR می تواند رخداد ها را بر روی Endpoint های بدون نظارت از طریق عبور از Scanner تشخیص دهد. البته زمانی که EDR اطلاعات SEP Agent را نداشته باشد، EDR تمامی اطلاعات بر روی Endpoint را نخواهد داشت. به طور مثال User name، Last Check-in و یا SEPM Group
- Symantec Endpoint Detection and Response(EDR):
اطلاعات را از طریق ارتباط پراکسی بین SEP Client و Symantec و همینطور از طریق ارتباطات Endpoint Detection and Response Endpoint و SEP جمع آوری می کند.
Symantec Email Threat Detection and Response:
با محصول Symantec Email Security.Cloud جهت پرده برداشتن از حملاتی که به شبکه شما می شود، ادغام می شود.EDR -Symantec Endpoint Detection and Response جهت ارتباط رخداد های شبکه با دیتای رخداد های ایمیل، دیتای رخداد Web و دیتا رخداد Endpoint از Synapse استفاده می کند. موتور ارتباط Synapse یه صورت خودکار رخدادها را با SEP، Email Security.Cloud، Web Security.Cloud و Symantec EDR جهت کاهش میزان هشدار های امنیتی، مطابقت می دهد. همانطوری که Incident شناسایی شده، مرتبط با Incident های دیگر کشف شده در شبکه جهت نمایش الگوی های کلی حمله و اولویت بندی بیشترین تهدید های قابل توجه شده است.
EDR از فن آوری های تشخیص زیر استفاده می کند:
- Vantage: یک موتور شناسایی Signature-based می باشد که تهدیدات را در جریان شبکه جستجو می کند.
- Insight: Insight به بزرگترین دیتابیس Reputation موجود در جهان دسترسی دارد که بالاتر از 8 بیلیون فایل بر روی آن موجود است. این سرویس اطلاعات مربوط به فایل های اجرایی ویندوز که بر روی Endpoint های مشاهده شده را جمع آوری می کند.
- Mobile Insight: Mobile Insight آنالیز مشابه فایل های اجرایـــی ویندوز را برای نرم افزار های اندروید انجام مـــی دهد. علاوه بر آن جهت مقابله با و شناسایی بد افزار، Mobile Insight مشکلات مربرط به عملکرد و حریم خصوصی را تشخیص می دهد.
- Antivirus Engine: موتور آنتی ویروس که از تکنولوژی Signature-base جهت شناسایی بد افزار استفاده مـــی کند.
- Sandboxing: تکنولوژی Sandboxing از یک محیط مجازی به نام Sandbox جهت آنالیز نتیجه فایل و گزارش رفتار در هر مرحله استفاده می کند. مجهز به تکنولوژی یادگیری ماشین می باشد. در نهایت دیتای شما را با دیتا Real World تهیه شده توسط Symantec Global Intelligence Network جهت تشخیص مخرب بودن آن، منطبق می کنند.
- Blacklists and Whitelists: بر روی Symantec ATP appliances به طور مرتب آپدیت شده و شناسایی و عملکرد را سرعت و بهبود می بخشد. شما همچنین قادر خواهید بود Blacklist و Whitelist مورد نظر خود را بسازید و از طریق EDR نگهداری کنید.
- SONAR: SEP شامل تکنولوژی SONAR یا Symantec Online Network for Advanced Response جهت پردازش رفتار مربوط به شناسایی و درمان می باشد. در هر صورت SEP قادر به مشاهده جزییات نمی باشد. در صورتی که شما SEP و EDR را با هم Integrate می کنید، EDR به قدرت دید Sonar در SEP عمق می دهد. Sonar توانایی اکتشاف تغییرات به عمل آمده بر روی Managed Endpoint و همینطور رفتار را خواهد داشت.
Sonar از سیستم اکتشافی که هوش مصنوعی آنلاین سیمنتک به همراه نظارت محلی SEP برای شناسایی تهدیدات ناگهانی استفاده می کند. Sonar قابلیت شناسایی نوع Application را ندارد اما نحوه رفتار آن را پردازش می کند.
- Suspicious file classifier: از یک File Classifier جهت آنالیز فایل هایی که وضع نامشخصی دارند، استفاده مـــی کند. File Classifier فایل ها را با توجه به رفتار و ویژگیشان تفکیک کرده و مشخص می کند که آن خوب یا مخرب است. Classifier از decision trees استفاده کرده که توسط میلیون ها فایل به دست آمده است.
این تکنولوژی از یادگیری ماشین به جای signatures یا sandbox detonation استفاده می کند.