
EDR
comming soon
Specifications
راهکار EDR چه قابلیتهایی دارد
تفاوت یک راهکار شناسایی و پاسخدهی تهدیدات Endpoint یا EDR با آنتیویروس این است که آنتیویروس از ورود تهدیدات به داخل شبکه جلوگیری کرده و زمانی که بدافزار بتواند از سد آنتیویروس گذر کند، راهکار EDR با تشخیص فعالیت و رفتار آن، تیم امنیت را قبل از حرکت بد افزار در شبکه، مطلع میکند.
بر اساس مدل گارتنر، یک EDR تاثیرگذار باید شامل قابلیتهای زیر باشد:
- جستجوی و بررسی دادههای رخدادهای ایجاد شده
- تریاژ برای هشدارها و بررسی و اعتبارسنجی فعالیتهای مشکوک
- تشخیص فعالیتهای مشکوک
- شکار تهدیدات
- جلوگیری از ادامه فعالیتهای مخرب
Benefit
استفاده از راهکار شناسایی و پاسخدهی تهدیدات Endpoint چه مزایایی دارد
بررسی جنبههای مختلف یک راهکار EDR میتواند در انتخاب EDR تاثیرگذار در سازمان، موثر واقع شود. در اینجا شش مزیت مهم یک راهکار شناسایی و پاسخدهی تهدیدات Endpoint یا EDR در ادامه آورده شده است.
Visibility
این قابلیت به شما این امکان را میدهد که تمام فعالیتهای سیستمهای انتهایی را مانیتور کرده و در صورت لزوم بتوانید به سرعت جلوی فعالیتهای مخرب را بگیرید.
Threat Database
یک راهکار EDR تاثیرگذار دارای یک منبع برای جمعآوری فعالیتها و رویدادهای سیستمهای انتهایی و بررسی امضای حملات مختلف درون این پایگاه داده است.
Behavioral Protection
متدهای مختلف محافظت اعم از تشخیص بر اساس امضا و IoCها اغلب بدلیل مهارت نفوذگر با شکست مواجه میشود. یک EDR مناسب با ایجاد یک رویکرد رفتارشناسی (IoA) میتواند بسیاری از حملات پیشرفته را که سابق بر این بوجود نیامده، شناسایی و جلوگیری کند.
Insight and Intelligence
یک EDR باید بتواند با Threat Intelligence سازمان متصل شده و در صورت مواجه با حملات تعریف شده در آن دیتابیس تیم امنیت را مطلع سازد.
Fast Response
یک راهکار شناسایی و پاسخدهی تهدیدات Endpoint باید توانایی تشخیص سریع و دقیق رخدادها را داشته باشد و بتواند قبل از اینکه حمله موجب دسترسی شود، آن را تشخیص داده و تیم امنیت را با خبر سازد.
Cloud-Based Solution
تنها راه جلوگیری از حملات Zero-Day بر روی سیستمهای انتهایی استفاده از راهحلهای مبتنی بر Cloud است که نرمافزار تهیه شده با اتصال به دیتابیس کمپانی فروشنده EDR بتواند در سریعترین زمان ممکن حملات Zero-Day را تشخیص داده و بصورت Real-Time از آن جلوگیری کند.
Services
Products
Kaspersky EDR چیست
نرمافزار EDR کمپانی Kaspersky میتواند یک لایه محافظتی به راهحل EPP سازمان اضافه کند، EPP توانایی جلوگیری از حملات ساده شامل ویروسها و تروجانها و غیره را دارد. در صورتی که EDR بر نحوه جلوگیری از حملات پیشرفته تمرکز میکند، این نرمافزار با مشاهده رفتار بدافزارها و رویدادهای بوجود آمده در سیستمهای انتهایی، توانایی تشخیص حملات را بدست میآورد.
این نرمافزار تماماً با نرمافزار Kaspersky Enterprise Security ادغام شده و همچنین میتواند با EPPهای برندهای دیگر کار کند.
طراحی Kaspersky EDR شامل بخشهای مختلف است:
- سنسورهای سیستمهای انتهایی که میتواند با سنسور Kaspersky Enterprise Security ادغام شده و یک سنسور باشد و یا بصورت Standalone در کنار سنسورهای EPPهای دیگر قرار گیرد.
- نیازمند یک منبع ذخیرهسازی باری رویدادها، یک موتور تحلیل و بررسی و یک ماژول مدیریتی است. همچنین میتواند یک Sandbox نیز داشته باشد که این مورد بصورت اختیاری پیادهسازی میشود.
- این کمپانی دارای یک ابر خصوصی با نام KSN Cloud است که برای تشخیص تهدیدات جدید و اعمال بصورت Real-time استفاده میشود.
- این محصول توانایی تعامل با محصولات Kaspersky Anti Targeted Attack و KCS را دارد که Anti-Targeted Attack برای تشخیص حملات وب و شبکه مورد استفاده قرار گرفته و KCS محصول Threat Intelligence کمپانی کسپرسکی است.
- این محصول قابلیت تعامل با یک محصول SIEM و توانایی ارسال لاگ با فرمت CEF را دارد.
ویژگیهای محصول EDR Kaspersky
متمرکز کردن رویدادها
این محصول بطور مداوم رویدادهای سیستمهای انتهایی را فارغ از مشکوک بودن یا نبودن جمعآوری میکند که این موضوع به کشف و تشخیص بدافزارهای ناشناخته کمک میکند. البته این محصول قابلیت تنظیم برای جمعآوری تنها موارد مشکوک را نیز داراست که باعث مدیریت بهتر منابع ذخیرهسازی میشود.
ذخیره کردن رویدادهای سیستمهای انتهایی در یک میزبان متمرکز این امکان را میدهد که محصول با سرعت بالاتری به آنالیز و جستجو میان رویدادها بپردازد.
تشخیص اتوماتیک
این محصول قابلیت تشخیص نفوذ میان رویدادهای چندین سیستم انتهایی را دارد و میتواند میان رویدادهای تولید شده توسط آنها Correlation انجام دهد. بغیر از تشخیص بر اساس رویدادهای تولید شده محصول EDR کسپرسکی میتواند یک Object مشکوک و یا بخشی از Memory را برای سرور مرکزی خود ارسال کند.
تشخیص Manual
این ویژگی که به ویژگی شکار تهدیدات محصول معروف است، توانایی جستجو بصورت Proactive (پیشکنشانه) برای بدست آوردن تهدیدات و حملات را برروی تمامی رویدادها ارائه میدهد. همچنین امکان اضافه کردن IoCهای جدید را به تیم امنیت میدهد.
پاسخ به تهدیدات
در این فاز عملگر با توجه به تهدید شناسایی شده واکنش میدهد. بعد از تشخیص تهدید شروع به بررسی و رابطه این تهدید با دیگر رویدادها میکند و بدنبال یک زنجیره از رفتارهای مخرب میگردد. در همین حین در صورت لزوم اقدام به متوقف ساختن Process مربوطه، حذف و قرنطینهکردن فایل میپردازد.
جلوگیری از تهدیدات
جلوگیری از اجرای فایلهایی که با سیاستهای سازمان مغایرت دارد، مانند عدم اجرای فایلهای اسکریپت یا نرمافزارهای آفیس و…، همچنین ایجاد یک Whitelist برای پسوندهای اجرایی در سازمان. تشخیص و جلوگیری از Objectها و URLهایی که در Sandbox بعنوان بدافزار شناسایی شدهاند.
FAQ
Advice and Support

Products Demo
Do you want to get acquainted with the products you need in our demo session?

Consultation
Do you want to choose the best solution you need in our consultation session?
