Назначение
Решения класса EDR
Endpoint detection and response
85%
угроз проявляют себя на конечных точках
6 из 10
самых популярных инструментов для атак в 2023 году — легитимные
25 дней
среднее время обнаружения атакующих в инфраструктуре без средства мониторинга и реагирования
Выявление сложных атак на ранних этапах
Разнообразие технологий детектирования и большая библиотека правил автоматического обнаружения угроз позволяют на ранних этапах выявлять атаки любой сложности, которые обходят классические превентивные СЗИ
Средства защиты информации
Увеличение прозрачности конечных точек
Решение фиксирует все происходящее на конечных точках в реальном времени, что позволяет провести реагирование и проследить всю цепочку атаки
Повышение эффективности реагирования
Множество встроенных инструментов позволяет реагировать на инциденты вручную, автоматизированно и автоматически. Это сокращает время и стоимость реагирования, помогает быстро остановить атакующего
Обеспечение проактивного поиска угроз
Интерфейс поиска в едином хранилище телеметрии дает возможность ретроспективного исследования событий для threat hunting — выявления неизвестных угроз, невидимых для правил автоматического обнаружения
Обнаружение недостатков конфигурации
Непрерывное выявление на хостах ПО с небезопасными настройками или уязвимостями, которые активно используют киберпреступники
Возможности
Мониторинг инфраструктуры
- Обработка более 200 типов событий мониторинга и инвентаризации
- Гибкое обогащение телеметрии всем необходимым контекстом для взвешенного принятия решений, например информацией о контейнерах
- Тонкое управление политикой сбора телеметрии, в том числе для высоконагруженных систем
- Обогащение событий данными киберразведки с помощью портала Threat Intelligence
Все собранные данные используются для threat hunting
Обнаружение угроз
- Автоматизированное выявление угроз на базе IoC, поведенческих IoAИндикаторы компрометациии YARA-правилИндикаторы атак
- Сопоставление найденного с матрицей MITRE ATT&CK
- Функционирование и при недоступности сервера
- Возможность создания пользовательских правил обнаружения
- Модуль Deception для более эффективного детектирования угроз
- Выявление критических недостатков конфигурации инфраструктуры
Реагирование на инциденты
- Интерактивная консоль с заданным хостом для реагирования в реальном времени
- Автоматическое (онлайн и офлайн) и автоматизированное реагирование
- Библиотека готовых популярных задач реагирования
- Сдерживание активного инцидента: завершение подозрительных процессов, сетевая изоляция хостов
- Устранение последствий инцидента: удаление файлов, записей автозапуска и иных следов вредоносной активности
- Сбор данных для расследования
- Запуск программ и скриптов для задач реагирования
- Ретроспективный анализ телеметрии
- Разработка правил автоматической блокировки угроз и многошаговых задач по реагированию (плейбуки)
Схема работы
Агент
- Непрерывный мониторинг конечных точек
- Инвентаризация конечных точек по запросу или расписанию
- Обнаружение угроз и недостатков конфигурации
- Автоматическое реагирование
- Периодический опрос сервера на наличие задач реагирования
- Выполнение задач реагирования и передача на сервер результатов
- Работа без связи с сервером
- Сбор событий с помощью средств генерации телеметрии
- Самозащита агента
- Модули для расширения функциональности
Агент EDR работает на Windows, Linux и macOS
Сервер
- Управление агентами и их группами
- Управление задачами реагирования
- Хранение результатов выполнения задач
- Управление политиками мониторинга и правилами обнаружения (IoC, IoA, YARA)
- Работа с оповещениями от правил обнаружения
- Хранение телеметрии с поиском через веб-интерфейс
Преимущества
Агент для всех ОС, позволяющий генерировать телеметрию без сторонних решений
Библиотека готовых профилей сбора телеметрии для быстрого начала работы
Возможность адаптации этих профилей под особенности любых инфраструктур и систем, в том числе высоконагруженных
Интерактивная консоль с заданным хостом для реагирования в реальном времени
Выявление не только атак, но и приводящих к ним недостатков системы
Вам также может подойти
Threat Intelligence
Портал киберразведки с фокусом на российском ландшафте угроз
