Sophos Endpoint Agent – Übersicht

Web Protection fängt ausgehende Browser-Verbindungen ab und blockiert Datenverkehr, der für schädliche oder verdächtige Websites bestimmt ist. Die Lösung stoppt Bedrohungen in der Bereitstellungsphase und verhindert, dass Benutzer auf Websites zur Malware-Bereitstellung oder Phishing-Websites umgeleitet werden.

Web Control verwendet die gleiche Technologie zum Abfangen von Datenverkehr, mit der Sie auch den Zugriff auf unerwünschte oder unangemessene Inhalte (z. B.nicht kindgerechte oder Glücksspiel-Websites) blockieren können.

Die Download-Reputation analysiert Dateien beim Herunterladen hinsichtlich Verbreitung, Alter und Quelle und bewertet ihre Reputation mithilfe der globalen Threat Intelligence aus den SophosLabs. Benutzer werden aufgefordert, Dateien mit geringer oder unbekannter Reputation zu blockieren.

Mit Application Control können Sie Anwendungen blockieren, die möglicherweise anfällig bzw. für Ihre Umgebung ungeeignet sind oder für kriminelle Zwecke missbraucht werden könnten. Sophos bietet vordefinierte Kategorien zum Blockieren und Überwachen von Anwendungen, wodurch das zeitaufwendige Blockieren einzelner Anwendungen per Hash entfällt.

Mit Peripheral (Device) Control können Sie den Zugriff auf Wechselmedien, Bluetooth und Mobilgeräte überwachen und sperren, um zu verhindern, dass bestimmte Geräte eine Verbindung zu Ihrem Netzwerk herstellen.

Data Loss Prevention überwacht und beschränkt die Übertragung von Dateien, die sensible Daten enthalten. Beispielsweise wird verhindert, dass Mitarbeiter vertrauliche Dateien über webbasierte E-Mail-Programme nach Hause senden.

Server Lockdown erlaubt nur vertrauenswürdigen Anwendungen und zugehörigen Dateien, andere Dateien auszuführen und zu ändern. Sophos zeichnet die installierte Software auf, überprüft sie auf ihre Sicherheit und erlaubt die Ausführung dieser Anwendungen nur, wenn sich der Server im Lockdown befindet.

Unser Universal-Schutz vor Ransomware (CryptoGuard) bietet die branchenweit zuverlässigsten Anti-Ransomware-Funktionen. Dateiinhalte werden kontinuierlich auf Anzeichen unbefugter Verschlüsselungen überwacht und der verantwortliche Prozess wird blockiert – unabhängig davon, ob er lokal oder auf einem kompromittierten Remote-Gerät ausgeführt wird. Der proprietäre Rollback-Mechanismus von Sophos setzt verschlüsselte Dateien in ihren Ursprungszustand zurück, ohne sich auf den Volume Shadow Copy Service (VSS) zu verlassen, den Angreifer häufig ins Visier nehmen.

Die Lösungen anderer Anbieter bieten zumeist keinen gleichwertigen mehrschichtigen Schutz vor Ransomware.

Adaptive Attack Protection verstärkt die Sicherheit dynamisch, wenn auf einem Endpoint ein manueller Angriff erkannt wird. Dadurch werden häufig verwendete Angriffstechniken blockiert, z. B. Versuche, Remote-Verwaltungstools oder ausführbare Dateien mit geringer Reputation auszuführen.

Kein anderer Anbieter bietet vergleichbaren adaptiven Schutz vor aktiven Angreifern.

Unsere KI-gestützte Malware-Abwehr auf Basis von Deep Learning analysiert Binärdateien, um mithilfe von Dateiattributen und prädiktivem logischem Denken Entscheidungen zu treffen. Deep Learning ist eine Sonderform des Machine Learning, die Malware erkennt und blockiert, einschließlich neuer und bisher unbekannter Bedrohungen.

Live Protection erweitert den umfassenden Schutz auf dem Gerät mit Echtzeit-Abfragen aktueller globaler Bedrohungsinformationen aus den SophosLabs. Dies bietet zusätzlichen Dateikontext und unterstützt die Entscheidungsüberprüfung, False-Positive-Unterdrückung und Reputationprüfung. Unsere hoch spezialisierte Bedrohungsforschung liefert zusätzliche Live-Informationen aus dem umfangreichen Produkt-Portfolio und dem globalen Kundenstamm von Sophos.

Andere Anbieter wie Carbon Black, CrowdStrike und SentinelOne setzen ausschließlich auf vortrainierte Machine-Learning-Modelle.

Die Verhaltensanalyse überwacht Prozess-, Datei- und Registrierungsereignisse im Zeitverlauf, um schädliche Verhaltensweisen und Prozesse zu erkennen und zu stoppen. Außerdem werden Speicher-Scans durchgeführt, laufende Prozesse auf schädlichen Code überprüft, der nur während der Prozessausführung sichtbar wird, und Angreifer erkannt, die schädlichen Code in den Speicher eines laufenden Prozesses einschleusen, um die Erkennung zu umgehen.

Anti-Exploit-Funktionen schützen die Prozessintegrität, indem sie den Anwendungsspeicher härten und bei der Ausführung von Laufzeitcode sogenannte Guardrails anwenden. Mehr als sechzig Anti-Exploit-Techniken sind in Sophos Endpoint standardmäßig aktiviert, erfordern keine Schulung oder Feinabstimmung und gehen weit über die vom Windows-Betriebssystem und von anderen Endpoint-Security-Lösungen gebotenen Funktionen hinaus.

Bei anderen Anbietern wie Carbon Black, SentinelOne und Microsoft fehlen umfassende Exploit-Abwehrfunktionen entweder komplett oder müssen umständlich manuell konfiguriert werden.

Application Lockdown verhindert den Missbrauch von Browsern und Anwendungen durch das Blockieren von Aktionen, die normalerweise nicht in Verbindung mit diesen Prozessen beobachtet werden: z. B. ein Webbrowser oder eine Office-Anwendung, die versucht, PowerShell zu starten.

Das Antimalware Scan Interface (AMSI) bestimmt, ob Skripte (z. B. PowerShell oder Office-Makros) sicher sind (u. a. ob sie verschleiert sind oder zur Laufzeit generiert werden), und blockiert dateilose Angriffe, bei denen Malware direkt aus dem Speicher geladen wird. Sophos verfügt außerdem über proprietäre Funktionen zur Abwehr von Malware, die versucht, die AMSI-Erkennung zu umgehen.

Malicious Traffic Detection erkennt Geräte, die versuchen, mit einem Command-and-Control(C2)-Server zu kommunizieren, indem sie Datenverkehr von Nicht-Browser-Prozessen abfängt und analysiert, ob dieser für eine schädliche Adresse bestimmt ist.

File Integrity Monitoring (FIM) identifiziert Änderungen an systemkritischen Dateien auf Windows-Servern. Sie können auch Speicherorte und Ausschlüsse definieren, um Änderungen an bestimmten Dateien, Ordnern, Registry-Schlüsseln und Registry-Werten zu identifizieren.

Der Sophos Data Lake integriert umfassende Telemetriedaten aus einem umfangreichen Portfolio von Sophos- und Drittanbieter-Lösungen, darunter Endpoint-, Mobile-, Firewall-, Netzwerk-, E-Mail- und Cloud-Technologien. Er ermöglicht Ihnen den Zugriff auf wichtige Daten und KI-priorisierte Bedrohungserkennungen an mehreren Angriffsflächen.

Mit Live Discover können Sie Abfragen auf Geräten ausführen, um Aktivitäten zu analysieren. Mittels osquery-Technologie lassen sich der Gerätestatus und Attribute in Event Journals überwachen und aufzeichnen. Außerdem wendet Live Discover sogenannte Guardrails an, um die Auswirkungen von Abfragen auf das Gerät zu begrenzen. Im Sophos Data Lake können Sie Informationen zu mehreren Geräten abfragen, u. a. auch für Offline-Geräte.

Live Response bietet ein sicheres Terminal in Ihrer Sophos Central-Konsole, mit dem Sie eine Verbindung zu Geräten herstellen können, um mögliche Sicherheitsprobleme zu analysieren und zu beheben. Führen Sie Befehle aus, um verdächtige Prozesse zu stoppen, Geräte mit ausstehenden Updates neu zu starten, Dateien zu löschen und vieles mehr – mit vollständigem, sicherem, auditiertem Shell-Zugriff.

Andere Anbieter stellen nur eine begrenzte Anzahl von Befehlen über ihre Konsolen bereit.

Forensische Snapshots. Wenn eine Bedrohung erkannt wird, wird eine Snapshot-Datei der aktuellen Aktivität auf der Festplatte des Geräts erzeugt. Sie können diese forensischen Snapshots remote abrufen, um zusätzliche Analysen durchzuführen.

Mit der Geräte-Isolation können Sie einen Endpoint Ihres Netzwerks während einer Analyse oder zum Eindämmen einer Bedrohung isolieren. Die Isolation blockiert TCP- und UDP-Datenverkehr und verhindert, dass das Gerät Netzwerkverbindungen herstellt.

Der Sophos Unified Endpoint Agent umfasst unsere komplette Suite an direkt einsatzbereiten Schutz-, Erkennungs- und Reaktionsfunktionen. Unternehmen und Organisationen können die Detection- und Response-Funktionen von Sophos mit Endpoint-Security-Software anderer Anbieter kombinieren. Hierzu bieten wir eine leichtgewichtige „XDR Sensor“-Option und eine Reihe schlüsselfertiger Drittanbieter-Integrationen an.

Andere Anbieter wie CrowdStrike und Microsoft unterstützen keine Endpoint-Technologien von Drittanbietern.

Über die zentrale Security-Operations-Plattform von Sophos erkennen, analysieren und bekämpfen Sie in kürzester Zeit Bedrohungen an allen wichtigen Angriffsflächen. Erfahren Sie mehr über die komplette Suite leistungsstarker EDR(Endpoint Detection and Response)- und XDR(Extended Detection and Response)-Funktionen von Sophos.