O Sophos Intecept X com EDR 3.0 permite aos administradores de TI e ao time de segurança fazer perguntas detalhadas sobre as operações no ambiente de TI, bem como as associadas a análise de ameaças (threat hunting).

Também é possível acessar remotamente os dispositivos para executar ações preventivas ou corretivas de forma simples, rápida e totalmente segura.

Live Discover

A funcionalidade Live Discover permite a execução de pesquisas nos dispositivos sobre itens de segurança e informações do ambiente. Baseado em uma forma de consulta muito similar a queries SQL, o administrador pode verificar tanto o histórico de um dispositivo quanto seu estado atual.

​

Perguntas como “a quanto tempo este dispositivo está em execução” e “quanto de memória está em uso” ou questionamentos sobre se determinada porta está ativa, se determinado patch está aplicado etc permitem identificar a situação do dispositivo em relação as políticas de segurança corporativa e atuar preventivamente ante a qualquer problema.

Não se pode esquecer que o Live Discover é um componente do Sophos Intercept X com EDR. E sim, você pode utilizar as queries em análises forenses. Por exemplo, ao analisar uma máquina suspeita, é possível identificar quais arquivos e chaves de registro foram alteradas em uma data específica, por exemplo.

O Live Discover permite não só fazer perguntas para um dispositivo específico, como fazer uma mesma pergunta, ou um conjunto de perguntas de uma única vez para vários ou todos os dispositivos da rede. É possível criar queries, salvá-las e executá-las periodicamente para identificar os dispositivos que deixaram de atender as características de segurança determinadas. Estas queries podem ser criadas totalmente a partir do zero, ter como ponto de partida algumas das disponibilizadas pela Sophos, ou ter como base as compartilhadas pela comunidade Sophos.

As queries são agrupadas em categorias, agilizando o processo de análise. Algumas das categorias existentes são: ATT&CK – queries baseadas em técnicas e táticas de ataque –, Device – sistema operacional, patches, serviços etc –, Events – eventos nos logs de sistema –,  Files – detalhes de arquivos e informações de acesso –, Network – conexões de rede e transferência de dados –, processes – Atividades e reputação de processos –, Registry – acesso e alterações no registro –, Threat hunting – indicadores de compromisso – e User – atividade de usuários e informações de autenticação.

As queries são disparadas a partir do Sophos Central o que facilita sobremaneira o processo de gerência do ambiente. Também é possível utilizar as APIs da Sophos para executar as queries, o que permite a automatização de processos de coleta de dados.

Outro fator positivo é que os dados são processados individualmente em cada dispositivo, ou seja, o Sophos Central envia para os dispositivos selecionados o questionamento (query). Estes processam as informações e devolvem o resultado. Desta forma a carga de processamento, tanto nos dispositivos, quanto no Sohpos Central é mínima, o que permite a execução de queries em um parque com muitas máquinas de forma simples e rápida.