شناسایی و پاسخدهی Endpoint یا EDR

EDR

comming soon

Specifications

راهکار EDR چه قابلیت‌هایی دارد

تفاوت یک راهکار شناسایی و پاسخ‌دهی تهدیدات Endpoint یا EDR با آنتی‌ویروس این است که آنتی‌ویروس از ورود تهدیدات به داخل شبکه جلوگیری کرده و زمانی که بدافزار بتواند از سد آنتی‌ویروس گذر کند، راهکار EDR با تشخیص فعالیت و رفتار آن، تیم امنیت را قبل از حرکت بد افزار در شبکه، مطلع می‌کند.

بر اساس مدل گارتنر، یک EDR تاثیرگذار باید شامل قابلیت‌های زیر باشد:

  • جستجوی و بررسی داده‌های رخدادهای ایجاد شده
  • تریاژ برای هشدارها و بررسی و اعتبارسنجی فعالیت‌های مشکوک
  • تشخیص فعالیت‌های مشکوک
  • شکار تهدیدات
  • جلوگیری از ادامه فعالیت‌های مخرب

 

Benefit

استفاده از راهکار شناسایی و پاسخ‌دهی تهدیدات Endpoint چه مزایایی دارد

بررسی جنبه‌های مختلف یک راهکار EDR می‌تواند در انتخاب EDR تاثیرگذار در سازمان، موثر واقع شود. در اینجا شش مزیت مهم یک راهکار شناسایی و پاسخ‌دهی تهدیدات Endpoint یا EDR در ادامه آورده شده است.

Visibility

این قابلیت به شما این امکان را می‌دهد که تمام فعالیت‌های سیستم‌های انتهایی را مانیتور کرده و در صورت لزوم بتوانید به سرعت جلوی فعالیت‌های مخرب را بگیرید.

Threat Database

یک راهکار EDR تاثیرگذار دارای یک منبع برای جمع‌آوری فعالیت‌ها و رویدادهای سیستم‌های انتهایی و بررسی امضای حملات مختلف درون این پایگاه داده است.

Behavioral Protection

متدهای مختلف محافظت اعم از تشخیص بر اساس امضا و IoC‌ها اغلب بدلیل مهارت نفوذگر با شکست مواجه می‌شود. یک EDR مناسب با ایجاد یک رویکرد رفتارشناسی (IoA) می‌تواند بسیاری از حملات پیشرفته را که سابق بر این بوجود نیامده، شناسایی و جلوگیری کند.

Insight and Intelligence

یک EDR باید بتواند با Threat Intelligence سازمان متصل شده و در صورت مواجه با حملات تعریف شده در آن دیتابیس تیم امنیت را مطلع سازد.

Fast Response

یک راهکار شناسایی و پاسخ‌دهی تهدیدات Endpoint باید توانایی تشخیص سریع و دقیق رخدادها را داشته باشد و بتواند قبل از اینکه حمله موجب دسترسی شود، آن را تشخیص داده و تیم امنیت را با خبر سازد.

Cloud-Based Solution

تنها راه جلوگیری از حملات Zero-Day بر روی سیستم‌های انتهایی استفاده از راه‌حل‌های مبتنی بر Cloud است که نرم‌افزار تهیه شده با اتصال به دیتابیس کمپانی فروشنده EDR بتواند در سریعترین زمان ممکن حملات Zero-Day را تشخیص داده و بصورت Real-Time از آن جلوگیری کند.

 

Services

Products

Kaspersky EDR چیست

نرم‌افزار EDR کمپانی Kaspersky می‌تواند یک لایه محافظتی به راه‌حل EPP سازمان اضافه کند، EPP توانایی جلوگیری از حملات ساده شامل ویروس‌ها و تروجان‌ها و غیره را دارد. در صورتی که EDR بر نحوه جلوگیری از حملات پیشرفته تمرکز می‌کند، این نرم‌افزار با مشاهده رفتار بدافزارها و رویدادهای بوجود آمده در سیستم‌های انتهایی، توانایی تشخیص حملات را بدست می‌آورد.

این نرم‌افزار تماماً با نرم‌افزار Kaspersky Enterprise Security ادغام شده و همچنین می‌تواند با EPP‌های برندهای دیگر کار کند.

طراحی Kaspersky EDR شامل بخش‌های مختلف است:

  • سنسورهای سیستم‌های انتهایی که می‌تواند با سنسور Kaspersky Enterprise Security ادغام شده و یک سنسور باشد و یا بصورت Standalone در کنار سنسورهای EPP‌های دیگر قرار گیرد.
  • نیازمند یک منبع ذخیره‌سازی باری رویدادها، یک موتور تحلیل و بررسی و یک ماژول مدیریتی است. همچنین می‌تواند یک Sandbox نیز داشته باشد که این مورد بصورت اختیاری پیاده‌سازی می‌شود.
  • این کمپانی دارای یک ابر خصوصی با نام KSN Cloud است که برای تشخیص تهدیدات جدید و اعمال بصورت Real-time استفاده می‌شود.
  • این محصول توانایی تعامل با محصولات Kaspersky Anti Targeted Attack و KCS را دارد که Anti-Targeted Attack برای تشخیص حملات وب و شبکه مورد استفاده قرار گرفته و KCS محصول Threat Intelligence کمپانی کسپرسکی است.
  • این محصول قابلیت تعامل با یک محصول SIEM و توانایی ارسال لاگ با فرمت CEF را دارد.

ویژگی‌های محصول EDR Kaspersky

  • متمرکز کردن رویدادها

این محصول بطور مداوم رویدادهای سیستم‌های انتهایی را فارغ از مشکوک بودن یا نبودن جمع‌آوری می‌کند که این موضوع به کشف و تشخیص بدافزارهای ناشناخته کمک می‌کند. البته این محصول قابلیت تنظیم برای جمع‌آوری تنها موارد مشکوک را نیز داراست که باعث مدیریت بهتر منابع ذخیره‌سازی می‌شود.

ذخیره کردن رویدادهای سیستم‌های انتهایی در یک میزبان متمرکز این امکان را می‌دهد که محصول با سرعت بالاتری به آنالیز و جستجو میان رویدادها بپردازد.

  • تشخیص اتوماتیک

این محصول قابلیت تشخیص نفوذ میان رویدادهای چندین سیستم انتهایی را دارد و می‌تواند میان رویدادهای تولید شده توسط آنها Correlation انجام دهد. بغیر از تشخیص بر اساس رویدادهای تولید شده محصول EDR کسپرسکی می‌تواند یک Object مشکوک و یا بخشی از Memory را برای سرور مرکزی خود ارسال کند.

  • تشخیص Manual

این ویژگی که به ویژگی شکار تهدیدات محصول معروف است، توانایی جستجو بصورت Proactive  (پیش‌کنشانه) برای بدست آوردن تهدیدات و حملات را برروی تمامی رویدادها ارائه می‌دهد. همچنین امکان اضافه کردن IoCهای جدید را به تیم امنیت می‌دهد.

  • پاسخ به تهدیدات

در این فاز عملگر با توجه به تهدید شناسایی شده واکنش می‌دهد. بعد از تشخیص تهدید شروع به بررسی و رابطه این تهدید با دیگر رویدادها می‌کند و بدنبال یک زنجیره از رفتارهای مخرب می‌گردد. در همین حین در صورت لزوم اقدام به متوقف ساختن Process مربوطه، حذف و قرنطینه‌کردن فایل می‌پردازد.

  • جلوگیری از تهدیدات

جلوگیری از اجرای فایل‌هایی که با سیاست‌های سازمان مغایرت دارد، مانند عدم اجرای فایل‌‌های اسکریپت یا نرم‌افزارهای آفیس و…، همچنین ایجاد یک Whitelist برای پسوندهای اجرایی در سازمان. تشخیص و جلوگیری از Objectها و URLهایی که در Sandbox بعنوان بدافزار شناسایی شده‌اند.

 

Recources

FAQ

Advice and Support

Products Demo

Do you want to get acquainted with the products you need in our demo session?

Consultation

Do you want to choose the best solution you need in our consultation session?

Price List

Do you want to have the latest  prices for the products or services?

دانلود کاتالوگ