Sophos Endpoint Agent – Übersicht
Sophos bietet leistungsstarke Funktionen zur Reduzierung der Angriffsfläche, Bedrohungsabwehr sowie zur Erkennung und Reaktion in einem kompakten Agent, dessen Footprint geringer ausfällt als der vieler gängiger Geschäftsanwendungen. Viele Lösungen von anderen Anbietern haben keinen vergleichbaren Funktionsumfang und priorisieren die Agent-Größe zu Lasten der Schutzfunktionen.
Doch wer kann es sich leisten, auf wichtige Schutzfunktionen zu verzichten?
Reduzierung der Angriffsfläche
Angriffe frühzeitig zu stoppen, ist weniger ressourcenintensiv als sie zu einem späteren Zeitpunkt in der Angriffskette zu überwachen und die Schäden zu beheben. Netzwerkverkehr auf Endpoint-Ebene abzufangen, bietet leistungsstarke Schutzvorteile für Benutzer – sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks. Lösungen, die nicht über diese vollständige Funktionspalette zur Reduzierung der Angriffsfläche verfügen, haben weniger Möglichkeiten, Angriffe zu blockieren, bevor sie in Ihre Systeme eindringen.
Web Protection |
Web Protection fängt ausgehende Browser-Verbindungen ab und blockiert Datenverkehr, der für schädliche oder verdächtige Websites bestimmt ist. Die Lösung stoppt Bedrohungen in der Bereitstellungsphase und verhindert, dass Benutzer auf Websites zur Malware-Bereitstellung oder Phishing-Websites umgeleitet werden.
|
Web Control |
Web Control verwendet die gleiche Technologie zum Abfangen von Datenverkehr, mit der Sie auch den Zugriff auf unerwünschte oder unangemessene Inhalte (z. B.nicht kindgerechte oder Glücksspiel-Websites) blockieren können.
|
Download-Reputation |
Die Download-Reputation analysiert Dateien beim Herunterladen hinsichtlich Verbreitung, Alter und Quelle und bewertet ihre Reputation mithilfe der globalen Threat Intelligence aus den SophosLabs. Benutzer werden aufgefordert, Dateien mit geringer oder unbekannter Reputation zu blockieren.
|
Application Control |
Mit Application Control können Sie Anwendungen blockieren, die möglicherweise anfällig bzw. für Ihre Umgebung ungeeignet sind oder für kriminelle Zwecke missbraucht werden könnten. Sophos bietet vordefinierte Kategorien zum Blockieren und Überwachen von Anwendungen, wodurch das zeitaufwendige Blockieren einzelner Anwendungen per Hash entfällt.
|
Peripheral (Device) Control |
Mit Peripheral (Device) Control können Sie den Zugriff auf Wechselmedien, Bluetooth und Mobilgeräte überwachen und sperren, um zu verhindern, dass bestimmte Geräte eine Verbindung zu Ihrem Netzwerk herstellen.
|
Data Loss Prevention (DLP) |
Data Loss Prevention überwacht und beschränkt die Übertragung von Dateien, die sensible Daten enthalten. Beispielsweise wird verhindert, dass Mitarbeiter vertrauliche Dateien über webbasierte E-Mail-Programme nach Hause senden.
|
Server Lockdown |
Server Lockdown erlaubt nur vertrauenswürdigen Anwendungen und zugehörigen Dateien, andere Dateien auszuführen und zu ändern. Sophos zeichnet die installierte Software auf, überprüft sie auf ihre Sicherheit und erlaubt die Ausführung dieser Anwendungen nur, wenn sich der Server im Lockdown befindet.
|
Bedrohungsabwehr
Je mehr Bedrohungen Sie frühzeitig in der Angriffskette stoppen, umso weniger Vorfälle müssen Sie analysieren. Einige Detection- und Response-Lösungen konzentrieren sich zu Lasten umfassender Abwehrfunktionen auf die Erfassung von Telemetriedaten zu Analysezwecken. So wollen sie den Footprint des Agents kompakt halten. Sophos dagegen bietet eine breite Palette an Funktionen zur Bedrohungsabwehr,deren Wirksamkeit in unabhängigen Tests regelmäßig Bestnoten erhält.
Universal-Schutz vor Ransomware (CryptoGuard)Video ansehen |
Unser Universal-Schutz vor Ransomware (CryptoGuard) bietet die branchenweit zuverlässigsten Anti-Ransomware-Funktionen. Dateiinhalte werden kontinuierlich auf Anzeichen unbefugter Verschlüsselungen überwacht und der verantwortliche Prozess wird blockiert – unabhängig davon, ob er lokal oder auf einem kompromittierten Remote-Gerät ausgeführt wird. Der proprietäre Rollback-Mechanismus von Sophos setzt verschlüsselte Dateien in ihren Ursprungszustand zurück, ohne sich auf den Volume Shadow Copy Service (VSS) zu verlassen, den Angreifer häufig ins Visier nehmen. Die Lösungen anderer Anbieter bieten zumeist keinen gleichwertigen mehrschichtigen Schutz vor Ransomware.
|
Adaptive Attack ProtectionVideo ansehen |
Adaptive Attack Protection verstärkt die Sicherheit dynamisch, wenn auf einem Endpoint ein manueller Angriff erkannt wird. Dadurch werden häufig verwendete Angriffstechniken blockiert, z. B. Versuche, Remote-Verwaltungstools oder ausführbare Dateien mit geringer Reputation auszuführen. Kein anderer Anbieter bietet vergleichbaren adaptiven Schutz vor aktiven Angreifern.
|
KI-gestützte Malware-Abwehr auf Basis von Deep Learning |
Unsere KI-gestützte Malware-Abwehr auf Basis von Deep Learning analysiert Binärdateien, um mithilfe von Dateiattributen und prädiktivem logischem Denken Entscheidungen zu treffen. Deep Learning ist eine Sonderform des Machine Learning, die Malware erkennt und blockiert, einschließlich neuer und bisher unbekannter Bedrohungen.
|
Live Protection |
Live Protection erweitert den umfassenden Schutz auf dem Gerät mit Echtzeit-Abfragen aktueller globaler Bedrohungsinformationen aus den SophosLabs. Dies bietet zusätzlichen Dateikontext und unterstützt die Entscheidungsüberprüfung, False-Positive-Unterdrückung und Reputationprüfung. Unsere hoch spezialisierte Bedrohungsforschung liefert zusätzliche Live-Informationen aus dem umfangreichen Produkt-Portfolio und dem globalen Kundenstamm von Sophos. Andere Anbieter wie Carbon Black, CrowdStrike und SentinelOne setzen ausschließlich auf vortrainierte Machine-Learning-Modelle.
|
Verhaltensanalyse |
Die Verhaltensanalyse überwacht Prozess-, Datei- und Registrierungsereignisse im Zeitverlauf, um schädliche Verhaltensweisen und Prozesse zu erkennen und zu stoppen. Außerdem werden Speicher-Scans durchgeführt, laufende Prozesse auf schädlichen Code überprüft, der nur während der Prozessausführung sichtbar wird, und Angreifer erkannt, die schädlichen Code in den Speicher eines laufenden Prozesses einschleusen, um die Erkennung zu umgehen.
|
Anti-Exploit-Funktionen |
Anti-Exploit-Funktionen schützen die Prozessintegrität, indem sie den Anwendungsspeicher härten und bei der Ausführung von Laufzeitcode sogenannte Guardrails anwenden. Mehr als sechzig Anti-Exploit-Techniken sind in Sophos Endpoint standardmäßig aktiviert, erfordern keine Schulung oder Feinabstimmung und gehen weit über die vom Windows-Betriebssystem und von anderen Endpoint-Security-Lösungen gebotenen Funktionen hinaus. Bei anderen Anbietern wie Carbon Black, SentinelOne und Microsoft fehlen umfassende Exploit-Abwehrfunktionen entweder komplett oder müssen umständlich manuell konfiguriert werden.
|
Application Lockdown |
Application Lockdown verhindert den Missbrauch von Browsern und Anwendungen durch das Blockieren von Aktionen, die normalerweise nicht in Verbindung mit diesen Prozessen beobachtet werden: z. B. ein Webbrowser oder eine Office-Anwendung, die versucht, PowerShell zu starten.
|
Antimalware Scan Interface (AMSI) |
Das Antimalware Scan Interface (AMSI) bestimmt, ob Skripte (z. B. PowerShell oder Office-Makros) sicher sind (u. a. ob sie verschleiert sind oder zur Laufzeit generiert werden), und blockiert dateilose Angriffe, bei denen Malware direkt aus dem Speicher geladen wird. Sophos verfügt außerdem über proprietäre Funktionen zur Abwehr von Malware, die versucht, die AMSI-Erkennung zu umgehen.
|
Malicious Traffic Detection |
Malicious Traffic Detection erkennt Geräte, die versuchen, mit einem Command-and-Control(C2)-Server zu kommunizieren, indem sie Datenverkehr von Nicht-Browser-Prozessen abfängt und analysiert, ob dieser für eine schädliche Adresse bestimmt ist.
|
File Integrity Monitoring (FIM) |
File Integrity Monitoring (FIM) identifiziert Änderungen an systemkritischen Dateien auf Windows-Servern. Sie können auch Speicherorte und Ausschlüsse definieren, um Änderungen an bestimmten Dateien, Ordnern, Registry-Schlüsseln und Registry-Werten zu identifizieren.
|
Erkennung, Analyse und Reaktion
Je mehr Einblicke IT-Teams haben, desto schneller können sie reagieren. Sophos bietet Ihnen die Daten-Bandbreite und -Tiefe, um verdächtige Aktivitäten in Ihrer Umgebung effektiv zu analysieren und darauf zu reagieren. Die umfassende Protokollierung der Geräteaktivität wirkt sich nur geringfügig auf den Agent Footprint aus, hat aber einen großen Einfluss auf die Reaktionseffizienz. Bei Bedarf können Sie den hierfür verwendeten Speicherplatz auf dem Gerät und den Zeitraum, über den die Daten erfasst werden, begrenzen.
Sophos Data Lake |
Der Sophos Data Lake integriert umfassende Telemetriedaten aus einem umfangreichen Portfolio von Sophos- und Drittanbieter-Lösungen, darunter Endpoint-, Mobile-, Firewall-, Netzwerk-, E-Mail- und Cloud-Technologien. Er ermöglicht Ihnen den Zugriff auf wichtige Daten und KI-priorisierte Bedrohungserkennungen an mehreren Angriffsflächen.
|
Live Discover |
Mit Live Discover können Sie Abfragen auf Geräten ausführen, um Aktivitäten zu analysieren. Mittels osquery-Technologie lassen sich der Gerätestatus und Attribute in Event Journals überwachen und aufzeichnen. Außerdem wendet Live Discover sogenannte Guardrails an, um die Auswirkungen von Abfragen auf das Gerät zu begrenzen. Im Sophos Data Lake können Sie Informationen zu mehreren Geräten abfragen, u. a. auch für Offline-Geräte.
|
Live Response |
Live Response bietet ein sicheres Terminal in Ihrer Sophos Central-Konsole, mit dem Sie eine Verbindung zu Geräten herstellen können, um mögliche Sicherheitsprobleme zu analysieren und zu beheben. Führen Sie Befehle aus, um verdächtige Prozesse zu stoppen, Geräte mit ausstehenden Updates neu zu starten, Dateien zu löschen und vieles mehr – mit vollständigem, sicherem, auditiertem Shell-Zugriff. Andere Anbieter stellen nur eine begrenzte Anzahl von Befehlen über ihre Konsolen bereit.
|
Forensische Snapshots |
Forensische Snapshots. Wenn eine Bedrohung erkannt wird, wird eine Snapshot-Datei der aktuellen Aktivität auf der Festplatte des Geräts erzeugt. Sie können diese forensischen Snapshots remote abrufen, um zusätzliche Analysen durchzuführen.
|
Geräte-Isolation |
Mit der Geräte-Isolation können Sie einen Endpoint Ihres Netzwerks während einer Analyse oder zum Eindämmen einer Bedrohung isolieren. Die Isolation blockiert TCP- und UDP-Datenverkehr und verhindert, dass das Gerät Netzwerkverbindungen herstellt.
|
Kompatibilität mit Drittanbietern |
Der Sophos Unified Endpoint Agent umfasst unsere komplette Suite an direkt einsatzbereiten Schutz-, Erkennungs- und Reaktionsfunktionen. Unternehmen und Organisationen können die Detection- und Response-Funktionen von Sophos mit Endpoint-Security-Software anderer Anbieter kombinieren. Hierzu bieten wir eine leichtgewichtige „XDR Sensor“-Option und eine Reihe schlüsselfertiger Drittanbieter-Integrationen an. Andere Anbieter wie CrowdStrike und Microsoft unterstützen keine Endpoint-Technologien von Drittanbietern.
|
Sophos EDR/XDR |
Über die zentrale Security-Operations-Plattform von Sophos erkennen, analysieren und bekämpfen Sie in kürzester Zeit Bedrohungen an allen wichtigen Angriffsflächen. Erfahren Sie mehr über die komplette Suite leistungsstarker EDR(Endpoint Detection and Response)- und XDR(Extended Detection and Response)-Funktionen von Sophos. |
Sophos bietet den stärksten Schutz – ohne Kompromisse bei der Performance – und bewahrt dabei einen kompakten Agent Footprint.
Wenn Sie Ihre Endpoint-Security-Lösung nur auf Basis der Agent-Größe auswählen, schwächt dies Ihre Abwehr. Weshalb dieses Risiko eingehen?
Darum entscheiden sich Kunden für Sophos