نرم‌افزار سیمانتک Symantec Endpoint Detection & Response (EDR)

راهکار تشخیص و پاسخ به تهدیدات سیمانتک Symantec Endpoint Detection and Response (EDR) توانایی نظارت مستمر بر نقاط انتهایی و رویدادهای شبکه، بمنظور شناسایی حملات داخلی یا خارجی و امکان پاسخگویی سریع است.

سیستمهای Symantec EDR اطلاعات را در یک دیتابیس متمرکز میکنند، جاییکه میتوان آنها را بیشتر تجزیه و تحلیل کرد و برای تحلیل کامل تهدیدات درحال ظهور با اطلاعات پیشرفته تهدید همراه کرد.

برخی از سیستمهای EDR همچنین برای شبیه‌سازی تهدید در زمان واقعی با فناوری‌های sandboxing ادغام میشوند.

نرم افزار Endpoint detection and response (EDR)، بعنوان شناسایی و پاسخ تهدید نقطه پایانی (ETDR) نیز شناخته میشود، یک راه‌حل امنیتی یکپارچه نقطه انتهایی است که ترکیبی از نظارت مداوم در زمان واقعی و جمع آوری داده‌های نقطه پایان با قابلیت پاسخگویی و تحلیل خودکار مبتنی بر قوانین است.

Symantec Endpoint Detection and Response وظایف مهم امنیتی را انجام میدهد که تهدیدهای شبکه را شناسایی، محافظت و پاسخ میدهد.

فناوری‌های نرم افزار Symantec Endpoint Detection and Response (EDR)

Symantec EDR برای ارتباط داده‌های رویداد شبکه با داده‌های رویداد ایمیل، داده‌های رویداد وب و داده‌های رویداد نقطه پایانی از Synapse استفاده میکند.

موتور همبستگی Synapse بطور خودکار رویدادها را با SEP, Email Security.cloud, Web Security.cloud و Symantec EDR مطابقت میدهد تا میزان هشدارهای امنیتی را کاهش دهد.

با شناسایی حوادث، آنها با سایر حوادث کشف شده در شبکه در ارتباط هستند تا الگوهای کلی حمله را نشان دهند و مهمترین تهدیدها را در اولویت قرار دهند.

Symantec Endpoint Detection and Response (EDR) از فناوری‌های تشخیص زیر استفاده میکند:

• Vantage

یک موتور تشخیص مبتنی بر امضا است که تهدیداتی را در جریان شبکه پیدا میکند.

• Insight

به بزرگترین بانک اطلاعات شهرت جهان دسترسی پیدا میکند و بیش از 8 میلیارد فایل از اطلاعات معتبر برخوردار است.

Insight یک سرویس درخواست اعتبار متعلق به سیمانتک برای درخواستهای معتبر Insight است. این سرویس اطلاعات مربوط به فایلهای اجرایی ویندوز را که در نقاط انتهایی مشاهده میشوند جمع آوری میکند.

• Mobile Insight

همانند Insight برای فایلهای اجرایی ویندوز، آنالیزهای مشابهی را برای برنامه‌های اندرویدی انجام میدهد.

علاوه بر مقابله و شناسایی بدافزار، Mobile Insight همچنین موارد حریم خصوصی و عملکرد را در برنامه‌های تلفن همراه شناسایی میکند.

• Antivirus engine

یک فناوری مبتنی بر امضا است که بدافزار را شناسایی میکند.

• Sandboxing

فناوری‌های Sandboxing سیمانتک باعث انفجار فایلها در یک محیط sandbox مجازی شده و نتایج را تجزیه و تحلیل کرده و هر مرحله از رفتار مشاهده شده را گزارش میدهید.

Sandboxها از فناوری machine learning برای مقایسه نتایج با ویژگیهای بد و شناخته شده استفاده میکنند. سپس آنها داده‌های شما را با داده‌های دنیای واقعی که توسط Symantec Global Intelligence Network تهیه شده است ارتباط میدهند تا بد بودن فولدرها را تشخیص دهند.

• Blacklist and Whitelist

فیدهای لیست سیاه جهانی و لیست سفید سیمانتک، که بطور مرتب در applianceهای Symantec EDR بروز میشوند. آنها سرعت را تشخیص میدهند و عملکرد را بهینه میکنند.

همچنین میتوانید لیستهای سیاه و سفید سفارشی را ایجاد کنید که از طریق Symantec Endpoint Detection and Response (EDR) نگهداری میکنید.

• SONAR

Symantec Endpoint Protection شامل فناوری Symantec Online Network for Advanced Response (SONAR) برای شناسایی و اصلاح رفتار فرآیند است.

با اینحال، SEP هیچ نظریه‌ای درباره این جزئیات ارائه نمیدهد. هنگامیکه Symantec EDR و SEP را ادغام میکنید، Symantec EDR میتواند اطلاعاتی در مورد تشخیص SONAR فراهم کند.

SONAR تغییرات سیستمی را که در نقاط انتهایی مدیریت شده شما رخ داده، ترتیب وقوع آنها و مشخصات فایل مربوطه شناسایی میکند. این اطلاعات به شما در فعالیتی که در محیط شما اتفاق می‌افتد دید بیشتری میدهد.

علاوه بر این، SONAR از یک سیستم ابتکاری استفاده میکند که از شبکه اطلاعاتی آنلاین سیمانتک با نظارت محلی فعال در نقاط انتهایی Symantec EP برای تشخیص تهدیدات نوظهور استفاده میکند.

قابلیت SONAR همچنین تغییرات یا رفتاری را در نقاط انتهایی که باید نظارت کنید، تشخیص میدهد. SONAR تشخیص نوع برنامه را انجام نمیدهد، بلکه نحوه رفتار یک فرآیند را شناسایی میکند.

• Suspicious file classifier

راه‌حل Symantec EDR از طبقه بندی فایل برای تجزیه و تحلیل فولدرهایی با وضعیت ناشناخته استفاده میکند.

طبقه‌بندی کننده فایل، فولدرها را بر اساس ویژگیهای آنها تجزیه میکند تا خوب یا مخرب بودن فایل را تشخیص دهد. طبقه‌بندی کننده از قوانینی که با میلیونها پرونده آموزش دیده است، استفاده میکند.

این فناوری از machine learning بجای امضا یا انفجار sandbox استفاده میکند.

برای راه‌اندازی و استفاده از نرم‎‌افزار Symantec EDR به لایسنس SESC (SES Complete) نیاز دارید. بنابراین بایستی از لایسنس SESC بجای لایسنس EDR استفاده کنید.

برای استفاده از ویژگی‌های EDR، باید نسخه ایجنت سیمانتک 14.3 یا بالاتر باشد.