H Sophos στις 19 Μαΐου 2021 διέθεσε ορισμένες συναρπαστικές ενημερώσεις για όλους τους πελάτες που χρησιμοποιούν το Sophos EDR (Endpoint Detection and Response) με το Intercept X Advanced με EDR και το Intercept X Advanced για Server με EDR.
Τι νέο υπάρχει;
Παρουσιάζοντας τo Sophos Data Lake
Το Sophos Data Lake (Λίμνη Δεδομένων της Sophos) αποθηκεύει κρίσιμης σημασίας πληροφορίες από όλες τις τερματικές συσκευές και τους διακομιστές με δυνατότητες EDR, πράγμα που σημαίνει ότι έχετε δυνατότητα πρόσβασης στα δεδομένα σας, ακόμα και αν οι συσκευές βρίσκονται εκείνη την ώρα εκτός σύνδεσης.
Εκτός από τη δυνατότητα λήψης βασικών δεδομένων από συσκευές ακόμα και όταν δεν είναι συνδεδεμένες στο διαδίκτυο (για παράδειγμα αν βρεθούν εκτός σύνδεσης εξαιτίας μίας επίθεσης ή επειδή δεν εντοπίζεται κάποιος φορητός υπολογιστής) το Sophos Data Lake επίσης επιτρέπει τον συσχετισμό συμβάντων σε μία πολύ ευρύτερη κλίμακα. Για παράδειγμα, θα είστε σε θέση να αναγνωρίσετε γρήγορα ότι κάποιος ύποπτος λογαριασμός έχει συνδεθεί σε πολλές συσκευές.
Στη συνέχεια, εφόσον έχετε προσδιορίσει μία συγκεκριμένη περιοχή ενδιαφέροντος, μπορείτε να προχωρήσετε στην αναζήτηση της συσκευής με το Live Discover και να αποκτήσετε απίστευτα πλούσια δεδομένα σε πραγματικό χρόνο καθώς και να αποκτήσετε απομακρυσμένη πρόσβαση στη συσκευή μέσω του Live Response για να προχωρήσετε στη λήψη των κατάλληλων μέτρων. Είναι ότι καλύτερο και από τους δύο κόσμους.
Οι πελάτες αποκτούν από προεπιλογή δυνατότητα να διατηρήσουν για 7 ημέρες τα δεδομένα τους (30 ημέρες με το Sophos XDR), κάτι που έρχεται επιπλέον της υφιστάμενης δυνατότητας αποθήκευσης δεδομένων έως και 90 ημερών δεδομένων απευθείας στις συσκευές.
Λάβετε υπόψη ότι πρέπει να ενεργοποιήσετε το Sophos Data Lake. Στην κονσόλα Sophos Central επιλέξτε «Global Settings» και στη συνέχεια, στο Endpoint ή στο Server Protection (ή και στα δύο) επιλέξτε τη ρύθμιση «Data Lake Uploads» και ενεργοποιήστε επίσης τη δυνατότητα «Upload to the Data Lake» μέσω του σχετικού διακόπτη. Από το ίδιο παράθυρο μπορείτε επίσης να επιλέξετε ποιες θα είναι οι συσκευές που θα στέλνουν δεδομένα στο Sophos Data Lake.
Προγραμματισμένα ερωτήματα (queries)
Μία από τις δυνατότητες που ζήτησαν περισσότερο οι χρήστες, τα προγραμματισμένα ερωτήματα (scheduled queries) αποτελεί μέρος του συνόλου δυνατοτήτων της νέας αυτής έκδοσης. Επομένως, με τα «προγραμματισμένα ερωτήματα» μπορείτε να έχετε έτοιμες να σας περιμένουν κρίσιμες πληροφορίες. Τα ερωτήματα μπορούν να προγραμματιστούν να εκτελούνται όλη τη νύχτα, έτσι ώστε τα βασικά δεδομένα να είναι έτοιμα για αξιολόγηση την επόμενη μέρα.
Για να ρυθμίσετε ένα προγραμματισμένο ερώτημα, πρέπει πρώτα να επιλέξετε ένα ερώτημα μεταβαίνοντας στο «Threat Analysis Center» και ακολούθως «Live Discover». Αφού επιλέξατε το query που θέλετε να εκτελέσετε, θα δείτε μια νέα επιλογή, που σας επιτρέπει να το προγραμματίσετε αντί να το εκτελέσετε άμεσα.
Βελτιωμένη χρηστικότητα
Εργαστείτε ακόμη πιο γρήγορα με βελτιώσεις στις ροές εργασίας και pivoting. Θα έχετε στη διάθεση σας ακόμα πιο γρήγορα τις βασικές πληροφορίες και θα μπορείτε να πραγματοποιήσετε ενέργειες και να ανταποκριθείτε ακόμα πιο γρήγορα.
Sophos XDR
Παράλληλα με το EDR 4.0, η Sophos διάθεσε και το νέο Sophos XDR (Extended Detection & Response). Το Sophos XDR πηγαίνει ένα βήμα παραπέρα από τις τερματικές συσκευές και τους διακομιστές «τραβώντας» πλούσια δεδομένα από τα Sophos Firewall και Sophos Email ενώ σύντομα θα «τραβάει» δεδομένα και από άλλα XDR-enabled προϊόντα της εταιρείας.
Παρακάτω μπορείτε να δείτε ορισμένες περιπτώσεις χρήσης του Sophos XDR:
IT Operations | Threat Hunting |
Προσδιορισμός unmanaged, guest και IoT συσκευών | Επεκτείνετε τις έρευνες για 30 ημέρες χωρίς να επαναφέρετε μια συσκευή online |
Για ποιο λόγο το δίκτυο στο γραφείο είναι αργό; Ποια εφαρμογή προκαλεί το πρόβλημα; | Χρησιμοποιήστε ανιχνεύσεις ATP και IPS από το firewall για να ερευνήσετε ύποπτους hosts |
Ανατρέξτε 30 ημέρες πίσω για ασυνήθιστη δραστηριότητα σε μια συσκευή που δεν βρίσκεται πια ή έχει καταστραφεί | Συγκρίνετε πληροφορίες κεφαλίδας email, SHA και άλλους δείκτες παραβίασης/ μόλυνσης (IoCs) για να εντοπίσετε κακόβουλη κινητικότητα σε ένα domain |
Για να μάθετε περισσότερα για το Sophos XDR παρακαλούμε διαβάσετε αυτό το άρθρο.
Πηγή: Sophos