Sophos EDR 4.0 là giải pháp mới nhất với một số bản cập nhật thú vị cho tất cả khách hàng sử dụng EDR (Endpoint Detection and Response) với 2 phiên bản là Intercept X Advanced with EDR và Intercept X Advanced for Server with EDR.
Có gì mới?
Giới thiệu Sophos Data Lake
Sophos Data Lake lưu trữ thông tin quan trọng từ các điểm cuối (endpoint) và máy chủ (server) hỗ trợ EDR của bạn, có nghĩa là bạn có quyền truy cập vào dữ liệu đó ngay cả khi các thiết bị đó hiện đang offline.
Ngoài việc có thể lấy dữ liệu quan trọng từ các thiết bị ngay cả khi chúng không online. Nếu bạn bị rớt mạng trong một cuộc tấn công hoặc một máy tính xách tay bị thất lạc, Sophos Data Lake còn cho phép tương quan sự kiện (event correlation) trên quy mô rộng hơn nhiều. Ví dụ: có thể nhanh chóng xác định rằng một tài khoản đáng ngờ được đăng nhập trên nhiều thiết bị.
Sau đó, khi bạn đã xác định khu vực quan tâm, bạn có thể truy vấn thiết bị bằng Live Discover và nhận dữ liệu trực tiếp, vô cùng phong phú và truy cập từ xa vào thiết bị thông qua Live Response để thực hiện hành động thích hợp. Đó là điều tốt nhất của Sophos dành cho tất cả mọi người.
Bạn sẽ nhận được 7 ngày lưu giữ trong data lake theo tiêu chuẩn (30 ngày với Sophos XDR), bổ sung cho tối đa 90 ngày lưu trữ dữ liệu trực tiếp trên các thiết bị.
Lưu ý: bạn cần kích hoạt Sophos Data Lake. Trong bảng điều khiển Sophos Central, chọn “Global Settings”, sau đó trong Endpoint or Server Protection (hoặc cả hai), chọn cài đặt "Data Lake uploads" và bật nút chuyển "Upload to the Data Lake". Từ cùng một cửa sổ, bạn cũng có thể chọn thiết bị nào gửi dữ liệu đến Sophos Data Lake.
Sophos Data Lake hiện có sẵn cho các thiết bị Windows và Linux. Hỗ trợ Mac sẽ đến vào cuối năm nay.
Các truy vấn đã lên lịch
Một trong những tính năng được yêu cầu hàng đầu, bản phát hành này giới thiệu các truy vấn đã lên lịch (scheduled queries) để bạn có thể chuẩn bị sẵn thông tin quan trọng và đang chờ bạn. Các truy vấn có thể được lên lịch chạy qua đêm để dữ liệu quan trọng sẵn sàng để đánh giá vào ngày hôm sau.
Để thiết lập một truy vấn đã lên lịch, trước tiên, bạn cần chọn một truy vấn bằng cách vào "Threat Analysis Center" và sau đó là “Live Discover”. Khi bạn đã chọn truy vấn bạn muốn chạy, bạn sẽ thấy một tùy chọn mới để lập lịch truy vấn thay vì chạy nó ngay lập tức.
Khi truy vấn đã được lập lịch thành công, nó sẽ xuất hiện trong danh sách “Scheduled Queries” của bạn.
Các truy vấn đã lên lịch hiện có sẵn cho các truy vấn của Sophos Data Lake. Các thiết bị Windows và Linux có thể sử dụng ngay bây giờ với sự hỗ trợ của Mac vào cuối năm nay. Các truy vấn đã lên lịch cho các truy vấn trên đĩa (on-disk) sẽ đến vào cuối năm nay.
Nâng cao khả năng sử dụng
Làm việc nhanh hơn nữa với các cải tiến cho quy trình làm việc và xoay vòng. Bạn sẽ nhận được thông tin quan trọng nhanh hơn và có thể thực hiện các hành động và phản hồi nhanh hơn nữa.
Sophos XDR
Ngoài EDR 4.0, Sophos cũng đã phát hành Sophos XDR (Extended Detection and Response – Phát hiện và phản hồi mở rộng).
Phát hiện và phản hồi mở rộng là định nghĩa được sử dụng phổ biến nhất, được nhiều công ty phân tích và nhà cung cấp an ninh mạng áp dụng. “Extended”- Mở rộng hay cụ thể là Sophos XDR đề cập đến việc vượt ra ngoài điểm cuối và máy chủ, mang lại các nguồn dữ liệu bổ sung như tường lửa, email, đám mây, thiết bị di động và các nguồn khác.
XDR làm gì?
XDR được thiết kế để cung cấp cho các tổ chức một cái nhìn tổng thể về tình hình an ninh mạng và môi trường CNTT của mình với khả năng nhanh chóng xoay quanh điều tra sâu khi cần điều tra thêm.
“Các đề xuất giá trị chính của sản phẩm XDR là cải thiện năng suất hoạt động bảo mật và nâng cao khả năng phát hiện và phản hồi bằng cách bao gồm nhiều thành phần bảo mật hơn vào một thể thống nhất, cung cấp nhiều luồng đo từ xa (multiple streams of telemetry), cung cấp các tùy chọn cho nhiều hình thức phát hiện và cho phép đồng thời nhiều phương pháp phản hồi”.
Theo Gartner, “Innovation Insight for Extended Detection and Response.” (2020)
Một câu hỏi thường được đặt ra là, "điều đó khác với EDR như thế nào?" Các giải pháp XDR nên bao gồm khả năng trả lời câu hỏi quan trọng của doanh nghiệp của EDR. Đó là có thể lấy dữ liệu trực tiếp trực tiếp từ một điểm cuối hoặc máy chủ, cũng như truy cập vào dữ liệu đám mây nếu thiết bị offline
XDR được xây dựng dựa trên nền tảng vững chắc đó bằng cách thêm nhiều dữ liệu và ngữ cảnh hơn nữa để tăng khả năng hiển thị và cung cấp cho người dùng thông tin chi tiết hơn nữa trong quá trình điều tra. Điều này dẫn đến việc phát hiện và phản ứng sự cố nhanh hơn và chính xác hơn. Các nguồn dữ liệu bổ sung có thể bao gồm tường lửa, email, đám mây và thông tin di động. Ví dụ: thêm dữ liệu tường lửa giúp việc phát hiện lưu lượng độc hại của tường lửa trở nên đơn giản với điểm cuối bị xâm phạm hoặc xem ứng dụng nào đang khiến kết nối mạng văn phòng chạy chậm.
Một trong những cách có giá trị nhất để sử dụng XDR là bắt đầu với tiêu điểm "macro" mà có thể cung cấp các công cụ để quét nhanh trên toàn bộ môi trường của bạn và làm nổi bật hoạt động đáng ngờ, hành vi bất thường và các vấn đề CNTT khác. Khi vấn đề được xác định, bạn có thể tham gia vào một thiết bị quan tâm, lấy dữ liệu trực tiếp hoặc truy cập từ xa vào thiết bị để tìm hiểu sâu hơn và thực hiện hành động khắc phục.
Nguồn dữ liệu mở rộng
Các công cụ EDR mạnh mẽ như vậy nhưng chúng bị giới hạn trong việc phát hiện và phản hồi trên các thiết bị đầu cuối và máy chủ. Đây không hẳn là một điều xấu. Nếu bạn phải chọn một nơi để tập trung nỗ lực phát hiện và phản hồi, các điểm cuối và máy chủ của tổ chức bạn là một lựa chọn tuyệt vời.
Tuy nhiên, có những điều bạn không thể làm bằng cách giải quyết chúng một cách cô lập (isolation). Rốt cuộc, môi trường CNTT của bạn là một trang web được kết nối với nhau gồm các mạng, công cụ liên lạc, thiết bị di động, ứng dụng đám mây... Để bảo vệ cơ sở hạ tầng CNTT của bạn toàn diện hơn, một hệ thống phát hiện và phản hồi tích hợp là chìa khóa quan trọng. Đây là lúc XDR xuất hiện.
XDR lấy ý tưởng về EDR và mở rộng nó. Nó vượt ra ngoài điểm cuối và máy chủ, kết hợp dữ liệu từ các công cụ bảo mật khác như tường lửa, cổng email, công cụ đám mây công cộng và các giải pháp quản lý mối đe dọa di động. XDR là một công nghệ mới nổi nên các nguồn dữ liệu và chức năng khác nhau giữa các nhà cung cấp, nhưng sơ đồ này cung cấp một điểm khởi đầu tốt để hiểu những gì XDR bổ sung vào EDR.
XDR Use case
Cách tốt nhất để giải thích những lợi ích trong thế giới thực của XDR là xem chức năng này có thể giúp các tổ chức như thế nào trong các hoạt động CNTT hàng ngày (IT operations) và khả năng săn lùng mối đe dọa (threat hunting). Lưu ý rằng chúng tôi đã bao gồm các ví dụ EDR vì giải pháp XDR của bạn cũng sẽ bao gồm các trường hợp sử dụng đó.
|
IT Operations |
Threat hunting |
|
|
EDR |
Tại sao máy chạy chậm? Thiết bị nào có lỗ hổng bảo mật, dịch vụ không xác định hoặc tiện ích mở rộng trình duyệt trái phép? Có chương trình nào đang chạy cần được gỡ bỏ không? |
Những quy trình nào đang cố gắng tạo kết nối mạng trên các port không theo tiêu chuẩn Hiển thị các quy trình đã sửa đổi file hoặc registry keys gần đây Danh sách các IoC được phát hiện đã ánh xạ MITER ATT & CK Framework |
|
XDR |
Xác định các thiết bị IoT, khách và không được quản lý Tại sao kết nối mạng văn phòng chậm? Ứng dụng nào đang gây ra nó? Xem lại 30 ngày để biết hoạt động bất thường trên một thiết bị bị mất hoặc bị phá hủy |
Kéo dài thời gian điều tra lên 30 ngày mà không cần đưa thiết bị trực tuyến trở lại Sử dụng tính năng phát hiện ATP và IPS từ tường lửa để điều tra các máy khả nghi So sánh thông tin tiêu đề email, SHA và các IoC khác để xác định lưu lượng truy cập vào tên miến độc hại |
Để biết thêm chi tiết vui lòng liên hệ với chúng tôi theo các thông tin dưới đây.
EmeraldETL là Công Ty chuyên về Công Nghệ, là Đại lý của rất nhiều dòng sản phẩm bảo mật cao tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.
- Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
- Hotline: 0358.22.3136
Tag: Tường lửa, firewall, fortinet fortigate, thiết bị tường lửa, firewall fortigate
