نرم افزار سیمانتک Symantec Endpoint Detection and Response (EDR)

راهکار تشخیص و پاسخ به تهدیدات سیمانتک Symantec Endpoint Detection and Response (EDR) توانایی نظارت مستمر بر نقاط انتهایی و رویدادهای شبکه، بمنظور شناسایی حملات داخلی یا خارجی و امکان پاسخگویی سریع است.

سیستمهای Symantec EDR اطلاعات را در یک پایگاه داده متمرکز تغذیه میکنند، جاییکه میتوان آنها را بیشتر تجزیه و تحلیل کرد و برای تغذیه کامل تهدیدات در حال ظهور با اطلاعات پیشرفته تهدید همراه کرد.

برخی از سیستمهای EDR همچنین برای شبیه سازی تهدید در زمان واقعی با فناوری های sandboxing ادغام میشوند. بیشتر سیستمهای EDR با تجزیه و تحلیل عمیق تر حمله با راه حلهای ممیزی قانونی ادغام میشوند.

نرم افزار Endpoint detection and response (EDR)، بعنوان شناسایی و پاسخ تهدید نقطه پایانی (ETDR) شناخته میشود، یک راه حل امنیتی یکپارچه نقطه انتهایی است که ترکیبی از نظارت مداوم در زمان واقعی و جمع آوری داده های نقطه پایان با قابلیت پاسخگویی و تحلیل خودکار مبتنی بر قوانین است.

Symantec Endpoint Detection and Response وظایف مهم امنیتی را انجام میدهد که تهدیدهای شبکه را شناسایی، محافظت و پاسخ میدهد.

راه حل Symantec EDR از نقاط کنترل زیر تشکیل شده است:

• Symantec EDR: Network

جریان شبکه را در زمان واقعی در تمام پورتها و پروتکلهای اینترنت پردازش کرده و از طریق فیلترهای مختلف و موتورهای تشخیص عبور میدهد.

با عبور ترافیک از اسکنر، Symantec EDR میتواند وقایع را در نقاط انتهایی کنترل نشده ردیابی کند. از آنجاکه Symantec EDR اطلاعات ایجنت SEP را ندارد، Symantec EDR نمیتواند تمام اطلاعات مربوط به نقطه نهایی را ارائه دهد. چنین اطلاعاتی شامل نام کاربری، آخرین اعلام حضور یا گروه SEPM است.

• Symantec EDR: Endpoint

اطلاعات را با پروکسی کردن ارتباطات بین کلاینتهای SEP و سیمانتک و با استفاده از قابلیتهای SEP’s Endpoint Detection and Response Communications Channel جمع‌آوری میکند.

• Symantec EDR: Email

برای کشف حملاتی که از طریق ایمیل به سازمان شما وارد میشود با Symantec Email Security.cloud ادغام میشود.

• Symantec EDR: Roaming

نرم افزار EDR، رویدادها را از Symantec EDR: Roaming جمع میکند و آنها را با رویدادهای سایر نقاط کنترل یکپارچه شما مرتبط میکند.

فناوری های نرم افزار Symantec Endpoint Detection and Response (EDR)

Symantec EDR برای ارتباط داده های رویداد شبکه با داده های رویداد ایمیل، داده های رویداد وب و داده های رویداد نقطه پایانی از Synapse استفاده میکند.

موتور همبستگی Synapse بطور خودکار رویدادها را با SEP, Email Security.cloud, Web Security.cloud و Symantec EDR مطابقت میدهد تا میزان هشدارهای امنیتی را کاهش دهد.

با شناسایی حوادث، آنها با سایر حوادث کشف شده در شبکه در ارتباط هستند تا الگوهای کلی حمله را نشان دهند و مهمترین تهدیدها را در اولویت قرار دهند.

Symantec Endpoint Detection and Response (EDR) از فناوری های تشخیص زیر استفاده میکند:

• Vantage

یک موتور تشخیص مبتنی بر امضا است که تهدیداتی را در جریان شبکه پیدا میکند.

• Insight

به بزرگترین بانک اطلاعات شهرت جهان دسترسی پیدا میکند و بیش از 8 میلیارد فایل از اطلاعات معتبر برخوردار است.

Insight یک سرویس درخواست اعتبار متعلق به سیمانتک برای درخواستهای معتبر Insight است. این سرویس اطلاعات مربوط به فایلهای اجرایی ویندوز را که در نقاط انتهایی مشاهده میشوند جمع آوری میکند.

• Mobile Insight

همانند Insight برای فایلهای اجرایی ویندوز، آنالیزهای مشابهی را برای برنامه های اندرویدی انجام میدهد.

علاوه بر مقابله و شناسایی بدافزار، Mobile Insight همچنین موارد حریم خصوصی و عملکرد را در برنامه های تلفن همراه شناسایی میکند.

• Antivirus engine

یک فناوری مبتنی بر امضا است که بدافزار را شناسایی میکند.

• Sandboxing

فناوری های Sandboxing سیمانتک باعث انفجار فایلها در یک محیط sandbox مجازی شده و نتایج را تجزیه و تحلیل کرده و هر مرحله از رفتار مشاهده شده را گزارش میدهید.

Sandbox ها از فناوری machine learning برای مقایسه نتایج با ویژگیهای بد و شناخته شده استفاده میکنند. سپس آنها داده های شما را با داده های دنیای واقعی که توسط Symantec Global Intelligence Network تهیه شده است ارتباط میدهند تا بد بودن پرونده ها را تشخیص دهند.

• Blacklist and Whitelist

فیدهای لیست سیاه جهانی و لیست سفید سیمانتک، که بطور مرتب در appliance های Symantec EDR بروز میشوند. آنها سرعت را تشخیص میدهند و عملکرد را بهینه میکنند.

همچنین میتوانید لیستهای سیاه و سفید سفارشی را ایجاد کنید که از طریق Symantec Endpoint Detection and Response (EDR) نگهداری میکنید.

• SONAR

Symantec Endpoint Protection شامل فناوری Symantec Online Network for Advanced Response (SONAR) برای شناسایی و اصلاح رفتار فرآیند است.

با اینحال، SEP هیچ نظریه ای درباره این جزئیات ارائه نمیدهد. هنگامیکه Symantec EDR و SEP را ادغام میکنید، Symantec EDR میتواند اطلاعاتی در مورد تشخیص SONAR فراهم کند.

SONAR تغییرات سیستمی را که در نقاط انتهایی مدیریت شده شما رخ داده، ترتیب وقوع آنها و مشخصات فایل مربوطه شناسایی میکند. این اطلاعات به شما در فعالیتی که در محیط شما اتفاق می افتد دید بیشتری میدهد.

علاوه بر این، SONAR از یک سیستم ابتکاری استفاده میکند که از شبکه اطلاعاتی آنلاین سیمانتک با نظارت محلی فعال در نقاط انتهایی Symantec EP برای تشخیص تهدیدات نوظهور استفاده میکند.

قابلیت SONAR همچنین تغییرات یا رفتاری را در نقاط انتهایی که باید نظارت کنید، تشخیص میدهد. SONAR تشخیص نوع برنامه را انجام نمیدهد، بلکه نحوه رفتار یک فرآیند را شناسایی میکند.

• Suspicious file classifier

راه حل Symantec EDR از طبقه بندی فایل برای تجزیه و تحلیل پرونده هایی با وضعیت ناشناخته استفاده میکند.

طبقه بندی کننده فایل، پرونده ها را بر اساس ویژگیهای آنها تجزیه میکند تا خوب یا مخرب بودن فایل را تشخیص دهد. طبقه بندی کننده از قوانینی که با میلیونها پرونده آموزش دیده است، استفاده میکند.

این فناوری از machine learning بجای امضا یا انفجار sandbox استفاده میکند.