معرفی ماژول EDR سیمانتک

آنتی ویروس سیمانتک در یک نگاه

شناسایی و افشا کردن سیمانتک - زمان کشف نقض را کاهش دهید و دامنه را به سرعت در معرض دید قرار دهید

از یادگیری ماشین و تجزیه و تحلیل رفتاری برای افشای فعالیت های مشکوک، شناسایی و اولویت بندی حوادث استفاده کنید!

شناسایی و ایجاد حوادث برای اسکریپت های مشکوک و سوء استفاده های حافظه

حملات مبتنی بر حافظه را با تجزیه و تحلیل حافظه فرآیندی افشا کنید

بررسی و مهار سیمانتک - بهره وری واکنش دهنده حادثه را افزایش دهید و از مهار تهدید اطمینان حاصل کنید

از پخش کامل حادثه با ضبط مداوم فعالیت نقطه پایانی، مشاهده فرآیندهای نقطه پایانی خاص اطمینان حاصل کنید

با جستجوی شاخص‌های سازش در تمام نقاط پایانی در زمان واقعی، تهدیدات را جستجو کنید

حاوی نقاط پایانی بالقوه در معرض خطر در طول بررسی با قرنطینه نقطه پایانی باشد

حل مساله سیمانتک - به سرعت نقاط پایانی را برطرف کنید و اطمینان حاصل کنید که تهدید برنمی گردد

فایل های مخرب و داده های مرتبط را در تمام نقاط پایانی تحت تأثیر حذف کنید

لیست سیاه و فایل های لیست سفید در Endpointها

گزارش پیشرفته اجازه می دهد تا هر جدولی برای گزارش های حل حادثه صادر شود

یکپارچه سازی و خودکارسازی - دیدگاه های محقق را متحد کنید، داده ها و جریان های کاری را هماهنگ کنید

داده ها و اقدامات حادثه را به راحتی در زیرساخت های SOC موجود از جمله Splunk و ServiceNow ادغام کنید

بهترین شیوه ها و تجزیه و تحلیل محققین ماهر را با قوانین کتاب بازی خودکار حوادث تکرار کنید

با جمع‌آوری خودکار داده ها، در فعالیت Endpoint دید عمیقی به دست آورید

شرکت ها به طور فزاینده ای در معرض تهدید حملات پیچیده قرار دارند. در واقع، تحقیقات نشان داده است که تهدیدها به طور متوسط  190 روز در محیط مشتری باقی می مانند. این تهدیدات پایدار پیشرفته از تکنیک‌های پنهانی برای فرار از شناسایی و دور زدن دفاع‌های امنیتی سنتی استفاده می‌کنند. هنگامی که یک حمله پیشرفته به محیط مشتری دسترسی پیدا می کند، مهاجم ابزارهای زیادی برای فرار از شناسایی و شروع به بهره برداری از منابع و داده های ارزشمند دارد. تیم‌های امنیتی هنگام تلاش برای شناسایی و افشای کامل گستره یک حمله پیشرفته با چالش‌های متعددی مواجه می‌شوند، از جمله جستجوی دستی از طریق منابع داده‌ای بزرگ و متفاوت، عدم مشاهده نقاط کنترل بحرانی، هشدار خستگی ناشی از مثبت کاذب، و مشکل در شناسایی و رفع نقاط پایانی تأثیرگذار.

راه حل Symantec EDR

Symantec EDR حملات پیشرفته را با یادگیری ماشینی دقیق و اطلاعات تهدید جهانی به حداقل رساندن داده های کاذب نشان می دهد و به اطمینان از سطح بالای بهره وری برای تیم های امنیتی کمک می کند. قابلیت‌های Symantec EDR به پاسخ‌دهنده‌های حادثه اجازه می‌دهد تا در حین بررسی تهدیدها با استفاده از انتخابی از جعبه‌شنودهای داخلی و مبتنی بر Cloud، به سرعت جستجو، شناسایی و حاوی تمام Endpoint های آسیب‌دیده باشند. همچنین، Symantec EDR بهره وری محقق را با قوانین کتاب بازی خودکار و تجزیه و تحلیل رفتار کاربر افزایش می دهد که مهارت ها و بهترین شیوه های با تجربه ترین تحلیلگران امنیتی را برای هر سازمانی به ارمغان می آورد و در نتیجه هزینه های قابل توجهی کاهش می یابد.

علاوه بر این، ضبط مداوم و بر اساس تقاضای فعالیت سیستم از دید کامل نقطه پایانی پشتیبانی می کند. Symantec EDR از تجزیه و تحلیل رفتاری در نقطه پایانی و در فضای ابری برای شناسایی حملات مخفی مانند تشخیص رخنه، فرمان و کنترل چراغ راهنمایی، حرکت جانبی و اجرای مشکوک پوسته قدرت استفاده می کند.

افزایش بهره وری با EDR سیمانتک

Symantec EDR بهره وری را با اولویت بندی حوادث بر اساس خطر افزایش می دهد. و Symantec EDR به طور خودکار حوادثی را برای حملات هدفمند ایجاد می کند که از طریق تجزیه و تحلیل حمله هدف سیمانتک و هوش دشمن پویا شناسایی شده اند.

علاوه بر این، محققین می توانند از مزایای ثبت فعالیت نقطه پایانی برای جستجوی شاخص های حمله و انجام تجزیه و تحلیل نقطه پایانی استفاده کنند Symantec EDR از بازیابی مستمر و بر اساس تقاضا برای طیف گسترده ای از رویدادها از جمله جلسه، فرآیند، تغییرات نقطه بار ماژول، عملیات فایل و پوشه، تغییرات رجیستری و فعالیت اتصال شبکه پشتیبانی می کند.

بر اساس گزارش ایمنی و تهدید اینترنت سیمانتک (ISTR)، بیش از 20 درصد از بدافزارها از VM آگاه هستند که به این معنی است، که آنها از شناسایی در Sandbox های سنتی فرار می کنند. Symantec EDR می‌تواند با استفاده از تکنیک‌های پیشرفته‌ای که شامل تقلید از رفتار انسان و در صورت لزوم استفاده از سرورهای فیزیکی برای چنین تهدیداتی را شناسایی کند.

تجزیه و تحلیل حمله متمرکز بر سازمان سیمانتک

Symantec EDR شامل تجزیه و تحلیل حملات هدفمند (TAA) است. TAA فعالیت های جهانی، خوب و بد، را در تمام شرکت هایی که مجموعه تله متری ما را تشکیل می دهند، تجزیه و تحلیل می کند. الگوریتم‌های هوش مصنوعی مبتنی بر ابر و یادگیری ماشینی پیشرفته ما به‌طور خودکار با تکنیک‌های حمله جدید سازگار می‌شوند. TAA یک حادثه بلادرنگ با تجزیه و تحلیل دقیق مهاجم، تکنیک‌ها، کاربران آسیب‌دیده، ماشین‌های آسیب‌دیده و راهنمایی‌های اصلاح ایجاد می‌کند و آن را به کنسول EDR ارسال می‌کند. این رویکرد تلاش های واکنش دهندگان حادثه را ساده می کند و بهره وری را برای کل تیم امنیتی افزایش می دهد (TAA بدون هزینه اضافی برای مشتریان Symantec با استفاده از Advanced Threat Protection3.1 یا بالاتر ارائه می شود).به دنبال ناهنجاری در نقاط پایانی باشید Symantec EDR با ارائه نمای کلی از نرم افزار، حافظه، کاربر و فعالیت پایه شبکه، جستجوی مهاجمان در محیط را ساده می کند. هنگامی که مهاجمان در محیط کار می کنند، بدافزار و فعالیت کاربر آنها به عنوان ناهنجاری یا پرت برجسته می شود.

Symantec EDR موارد دور از دسترس را در سراسر محیط نشان می دهد از جمله:

نقاط دور از دسترس نرم افزار - نقاط پایانی که دارای نرم افزار غیر معمول هستند، اختلافات ساخت، نسخه های سیستم عامل (OS) اصلاح نشده یا قدیمی را در معرض نمایش قرار دهید.

نقاط دور از دسترس حافظه - با استفاده از بررسی پزشکی قانونی حافظه فرآیند، شی فایل و سیستم عامل و تنظیمات سیستم، نقاط پرت ساکن حافظه را شناسایی کنید.

موارد دور از کاربر - تجزیه و تحلیل رفتار کاربر، مهاجمانی را شناسایی می کند که به عنوان کاربران قانونی فعالیت غیرمعمول انجام می دهند

نقاط دور از دسترس شبکه - از تجزیه و تحلیل آماری برای شناسایی آدرس‌های IP غیرعادی، جستجوی شهرت، آدرس‌های IP و دامنه‌های مرتبط با استخراج داده را شناسایی می‌کند.

این تشخیص‌های دور از دسترس از طریق سرویس مبتنی بر Cloud ارائه می‌شوند و با استفاده از داده های داخلی که گزارش‌های خاصی را در مورد طیف گسترده‌ای از فعالیت‌های غیرعادی تولید می‌کنند، در دسترس هستند.

به سرعت مشکلات نقاط پایانی را برطرف کنید

Symantec EDR از اصلاح سریع نقاط پایانی آسیب دیده از جمله حذف فایل، لیست سیاه و قرنطینه نقطه پایانی پشتیبانی می کند. با استفاده از قابلیت‌های پاک‌کن قدرتمندی که در Symantec Endpoint Protection (SEP) تعبیه شده است، پاسخ‌دهندگان می‌توانند از یک کنسول اقدام کنند و با یک کلیک یک اصلاح را در چندین نقطه پایانی اعمال کنند.

خودکارسازی تمرینات و رفع ایرادات با EDR سیمانتک

Symantec EDR از سورس های بازی پشتیبانی می‌کند که گردش کار پیچیده و چند مرحله‌ای بررسی تحلیلگران امنیتی را خودکار می‌کند. سورس های باز داخلی به سرعت رفتارهای مشکوک، تهدیدات ناشناخته، حرکت جانبی و نقض سیاست‌ها را آشکار می‌کنند. تیم امنیتی می‌تواند سورس های باز را مشاهده کند تا تکنیک‌های شکار و تحقیق را بیاموزد. علاوه بر این، محققان می‌توانند سورس های باز خود را برای خودکارسازی بهترین شیوه‌ها و مستندسازی سناریوهای شکار تهدید خاص ایجاد کنند.

گزینه های استقرار انعطاف پذیر EDR سیمانتک

Symantec EDR یک راه حل انعطاف پذیر است که می تواند در محل یا در فضای ابری مستقر شود. مشتریان Symantec Endpoint Protection (SEP) می توانند از قابلیت های EDR یکپارچه در معماری تک عامل SEP استفاده کنند. با استفاده از دستگاه حفاظت از تهدید پیشرفته: نقطه پایانی (ATP: Endpoint)، سازمان ها می توانند به سرعت EDR را در محیط های SEP موجود مستقر کنند. علاوه بر این، مشتریان می‌توانند ماژول‌هایی اضافه کنند که قابلیت مشاهده و ارتباط رویدادهای شبکه و ایمیل را فراهم می‌کنند (ماژول ایمیل به Symantec Email Security.cloud نیاز دارد). نقاط پایانی با یا بدون نصب SEP می‌توانند از پورتال مبتنی بر ابر برای تجزیه و تحلیل داده‌های سایبری، تجزیه و تحلیل پزشکی قانونی و اتوماسیون کتاب بازی با استفاده از یک کلاینت قابل انحلال و سرور مجموعه در محل (یا عامل خدمات مجموعه اختیاری) استفاده کنند. قابلیت‌های EDR مبتنی بر ابر Symantec  درعرض چند دقیقه گسترش می‌یابد و به سرعت داده‌ها را از نقاط پایانی جمع‌آوری می‌کند بدون اینکه تأثیری بر تجربه کاربر نهایی داشته باشد.

افزایش سرمایه گذاری های امنیتی به کمک سیمانتک

رویکرد دفاع سایبری یکپارچه سیمانتک سرمایه گذاری موجود سازمان شما را در زیرساخت های امنیتی افزایش می‌دهد. راه‌حل‌های Symantec EDR با ابزارهای عملیات امنیتی برای مدیریت رویداد و رویداد،  اتوماسیون و هماهنگ‌سازی از جمله:

- برنامه های از پیش ساخته شده برای Splunk، IBM QRadar و ServiceNow

- اتوماسیون و ارکستراسیون یکپارچه با استفاده از Phantom و Demisto

- API های  باز که قابلیت های تشخیص، بررسی و پاسخ را پوشش می دهند