InterceptX_EDR_banner.png

Anti-ransomware para Endpoints e Servidores

Vamos conversar sobre a segurança dos dados de sua empresa?

Sophos Intercept X com EDR 3.0

O Sophos Intecept X com EDR 3.0 permite aos administradores de TI e ao time de segurança fazer perguntas detalhadas sobre as operações no ambiente de TI, bem como as associadas a análise de ameaças (threat hunting).

 

Também é possível acessar remotamente os dispositivos para executar ações preventivas ou corretivas de forma simples, rápida e totalmente segura.

Live Discover

A funcionalidade Live Discover permite a execução de pesquisas nos dispositivos sobre itens de segurança e informações do ambiente. Baseado em uma forma de consulta muito similar a queries SQL, o administrador pode verificar tanto o histórico de um dispositivo quanto seu estado atual.

Perguntas como “a quanto tempo este dispositivo está em execução” e “quanto de memória está em uso” ou questionamentos sobre se determinada porta está ativa, se determinado patch está aplicado etc permitem identificar a situação do dispositivo em relação as políticas de segurança corporativa e atuar preventivamente ante a qualquer problema.

 

Não se pode esquecer que o Live Discover é um componente do Sophos Intercept X com EDR. E sim, você pode utilizar as queries em análises forenses. Por exemplo, ao analisar uma máquina suspeita, é possível identificar quais arquivos e chaves de registro foram alteradas em uma data específica, por exemplo.

 

O Live Discover permite não só fazer perguntas para um dispositivo específico, como fazer uma mesma pergunta, ou um conjunto de perguntas de uma única vez para vários ou todos os dispositivos da rede. É possível criar queries, salvá-las e executá-las periodicamente para identificar os dispositivos que deixaram de atender as características de segurança determinadas. Estas queries podem ser criadas totalmente a partir do zero, ter como ponto de partida algumas das disponibilizadas pela Sophos, ou ter como base as compartilhadas pela comunidade Sophos.

 

As queries são agrupadas em categorias, agilizando o processo de análise. Algumas das categorias existentes são: ATT&CK – queries baseadas em técnicas e táticas de ataque –, Device – sistema operacional, patches, serviços etc –, Events – eventos nos logs de sistema –,  Files – detalhes de arquivos e informações de acesso –, Network – conexões de rede e transferência de dados –, processes – Atividades e reputação de processos –, Registry – acesso e alterações no registro –, Threat hunting – indicadores de compromisso – e User – atividade de usuários e informações de autenticação.

 

As queries são disparadas a partir do Sophos Central o que facilita sobremaneira o processo de gerência do ambiente. Também é possível utilizar as APIs da Sophos para executar as queries, o que permite a automatização de processos de coleta de dados.

 

Outro fator positivo é que os dados são processados individualmente em cada dispositivo, ou seja, o Sophos Central envia para os dispositivos selecionados o questionamento (query). Estes processam as informações e devolvem o resultado. Desta forma a carga de processamento, tanto nos dispositivos, quanto no Sohpos Central é mínima, o que permite a execução de queries em um parque com muitas máquinas de forma simples e rápida.

Live Response

Com o Live Response, o administrador pode se conectar de qualquer lugar via acesso remoto diretamente a qualquer dispositivo. O acesso é seguro e permite a execução de comandos em uma interface do tipo linha de comando (CLI) diretamente em seu navegador a partir do Sophos Central.

 

Não há necessidade de configurações adicionais ou abertura de portas específicas para a conexão. Apenas administradores autorizados no Sophos Central podem acessar o Live Response; e, a cada conexão um registro de log é gerado permitindo identificar quando uma sessão foi iniciada e encerrada e por quem.

 

Nesta interface CLI é possível, por exemplo, reinicializar o dispositivo, editar chaves de registros e arquivos de configuração, encerrar processos em execução, executar scripts ou programas, instalar ou desinstalar aplicativos, listar e apagar arquivos e executas ferramentas de análise forense. Ou seja, é possível executar qualquer comando passível de ser executado localmente no dispositivo.

Vamos conversar?

Se você ficou com alguma dúvida sobre a solução, quer bater um papo ou mesmo deseja uma versão de avaliação, envie-nos uma mensagem:

Obrigado! Em breve um especialista entrará em contato.