در این بخش به بررسی چگونگی عملکرد نرم افزار شناسایی و پاسخ به تهدیدات نقطه پایانی سیمانتک Symantec Detection and Response (EDR) در بستر شبکه شرکت میپردازیم:
در فوریه 2014، موسسه ملی استاندارد و فناوری وزارت بازرگانی (NIST) چارچوبی را برای بهبود امنیت سایبری زیرساختهای حیاتی ایجاد کرد. این چارچوب برای کمک به سازمانها در برنامه ریزی و رفع تهدیدهای امنیت سایبری طراحی شده است.
توابع اصلی امنیت سایبری توضیح میدهد که چگونه Symantec EDR میتواند به سازمان شما در زمینه آمادگی، شناسایی و پاسخگویی به امنیت سایبری کمک کند.
با کمک نرم افزار امنیت سیمانتک EDR ارزیابی سازمان خود را برای شناسایی خطرات احتمالی و اهداف امنیتی انجام دهید. استراتژی مدیریت ریسک را بر اساس نیازهای تجاری خود تدوین کنید.
نقطه کنترل شبکه Symantec EDR جریان داده های ورودی را هنگام حرکت از طریق شبکه تجزیه و تحلیل میکند که از این اطلاعات برای ایجاد رویدادها و ایجاد حوادث برای کمک به شما در یافتن تهدیدات احتمالی در محیط استفاده میکند.
وقتی این نرم افزار را پیکربندی میکنید، دسترسی به فایلها و رایانه های خارجی را که تشخیص میدهد مخرب است، مسدود میکند. از طریق پالیسی های لیست سیاه و سفید میتوانید فایلها و وبسایت هایی که Symantec EDR مسدود میکند یا نه، را بیشتر کنترل کنید.
وقتی نقطه کنترل شبکه Symantec Endpoint Detection and Response (EDR) را با SEP و Email Security.cloud ادغام میکنید، سرویس ابری Synapse میتواند وقایع مربوط به هر محصول را با هم مرتبط کند و به شما یک تصویر جامع از تهدیدات شبکه، نقاط انتهایی و سیستم ایمیل شما بدهد. Symantec EDR تهدیدهایی را نشان میدهد که در داشبورد و در Incident Manager شناسایی میکند.
همچنین میتوانید تمام وقایعی را که بطور مزمن در سازمان شما اتفاق افتاده مشاهده کنید.
از این راه حل برای جستجوی شاخصهای سازش (IOC) و یافتن مصنوعات استفاده کنید که میتواند این موارد را در دیتابیس Symantec Endpoint Detection and Response و در نقاط پایانی شما جستجو کند.
اگر ضبط کننده فعالیت نقطه پایانی را فعال کنید، میتواند در ضبط کننده فعالیت نقطه پایانی نیز جستجو کند.
همچنین این راهکار میتواند هنگام ایجاد حوادث، بطور خودکار اعلانها را برای شما ارسال کند. همچنین میتواند رویدادها را به syslog وارد کند تا بتوانید آنها را در سیستم اطلاعات امنیتی و مدیریت رویدادها (SIEM) خود وارد کنید.
قابلیت مهار و اصلاح یک کلیک را فراهم میکند که در نقاط کنترل، شبکه و ایمیل کار میکند. بعنوان مثال، میتوانید یک فایل مخرب را از یک نقطه انتهایی حذف کنید یا یک نقطه پایان شکسته را جدا کنید.
پس از مهار تهدید، برای تجزیه و تحلیل چگونگی وقوع تخلف و جلوگیری از نقض مشابه در آینده، این روشها را دنبال کنید.
همچنین میتوانید گزارشهایی را اجرا کنید که برای تجزیه و تحلیل تعداد و انواع حملاتی که در محیط شما رخ داده مفید است.
راهکار Symantec Endpoint Detection and Response (EDR) برای تشخیص حملات هدفمند مانند تشخیص نقض، کنترل سیستم، حرکت بعدی و کنترل کردن PowerShell، از تشخیص پیشرفته حمله در نقطه انتهایی و تجزیه و تحلیل مبتنی بر ابر استفاده میکند. Symantec EDR با اولویت بندی حوادث ناشی از خطر، بهره وری محقق را افزایش میدهد.
وظایف اصلی سیستم امنیتی EDR عبارتند از: نظارت و جمع آوری داده های فعالیت از نقاط انتهایی که میتوانند تهدید را نشان دهند.
برای شناسایی الگوهای تهدید، این داده ها را تجزیه و تحلیل کنید. بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ دهید و به پرسنل امنیتی اطلاع دهید.
ابزارهای تشخیص و پاسخ نقطه پایانی با نظارت بر رویدادهای نقطه پایانی و شبکه و ضبط اطلاعات در یک پایگاه داده مرکزی که در آن تجزیه و تحلیل، شناسایی، تحقیق، گزارش و هشدار بیشتر انجام میشود.
در مجموع نرم افزار Symantec Endpoint Detection and Response بصورت زیر، تهدیدات را شناسایی نموده و پاسخ میدهد:
شرکت داده پایش کارن بعنوان ارائه دهنده محصولات سیمانتک، آمادگی ارائه خدمات و لایسنس نرم افزار Symantec EDR را دارا میباشد.