Présentation de l’agent Sophos Endpoint

La Protection Web intercepte les connexions sortantes du navigateur et bloque le trafic destiné aux sites web malveillants ou suspects. Elle bloque les menaces au stade de la transmission en empêchant les utilisateurs d’être redirigés vers des sites de diffusion de logiciels malveillants ou de phishing.

Le Contrôle du Web utilise la même technologie d’interception du trafic, vous permettant de bloquer l’accès à des contenus indésirables ou inappropriés, tels que les sites pour adultes et les sites de jeux d’argent.

La Réputation des téléchargements analyse les fichiers lors de leur téléchargement et utilise les renseignements sur les menaces des SophosLabs pour fournir un verdict basé sur la prévalence, l’âge et la source. Les utilisateurs sont invités à bloquer les fichiers dont la réputation est faible ou inconnue.

Le Contrôle des applications vous permet de bloquer les applications potentiellement vulnérables, inadaptées à votre environnement ou qui pourraient être utilisées à des fins malveillantes. Sophos fournit des catégories prédéfinies pour bloquer ou surveiller les applications, ce qui évite de devoir bloquer des applications individuelles au coup par coup.

Le Contrôle des périphériques (appareils) vous permet de surveiller et de bloquer l’accès aux supports amovibles, à la technologie Bluetooth et aux téléphones portables afin d’empêcher certains appareils de se connecter à votre réseau.

La Prévention des fuites de données (DLP) surveille et restreint le transfert des fichiers contenant des données sensibles. Vous pouvez par exemple empêcher les employés d’envoyer des fichiers confidentiels à la maison en utilisant une messagerie web.

Le Verrouillage du serveur permet uniquement aux applications approuvées et à leurs fichiers associés de s’exécuter et de modifier d’autres fichiers. Sophos consigne les logiciels installés, vérifie qu’ils sont sûrs et n’autorise l’exécution de ces applications que lorsque le serveur est verrouillé.

L’Anti-ransomware universel (CryptoGuard) offre la protection anti-ransomware la plus robuste du marché. Il surveille en permanence le contenu des fichiers pour détecter les signes de chiffrement malveillant, bloquant le processus incriminé, que celui-ci s’exécute localement ou sur un appareil distant compromis. Le mécanisme propriétaire de retour en arrière (rollback) de Sophos restaure les fichiers chiffrés vers leur état d’origine sain sans s’appuyer sur le service VSS (Volume Shadow Copy Service), fréquemment ciblé par les attaquants.

La plupart des fournisseurs n’offrent pas un ensemble équivalent de couches de protection contre les ransomwares distants.

La Protection adaptative contre les attaques met automatiquement en œuvre une protection plus agressive sur un terminal lorsqu’une attaque manuelle est détectée. Elle bloque les actions couramment effectuées par les adversaires, comme les tentatives d’exécution d’outils d’administration à distance ou d’exécutables de faible réputation.

Aucun autre fournisseur n’offre une protection adaptative comparable contre les adversaires actifs.

La Prévention antimalware par Deep Learning (optimisée par l’IA) analyse les binaires pour prendre des décisions basées sur les attributs des fichiers et un raisonnement prédictif. Le Deep Learning est une forme avancée de Machine Learning qui détecte et bloque les logiciels malveillants, y compris les menaces nouvelles et inédites.

La fonctionnalité Live Protection étend la protection complète de Sophos sur l’appareil en accédant en temps réel aux derniers renseignements sur les menaces des SophosLabs. Cela permet d’obtenir un contexte de fichier supplémentaire, de vérifier les décisions, de supprimer les faux positifs et d’analyser la réputation des fichiers. Nos laboratoires de recherche sur les menaces fournissent en temps réel des renseignements supplémentaires issus du portefeuille de produits étendu de Sophos et de sa clientèle mondiale.

Certains fournisseurs, dont Carbon Black, CrowdStrike et SentinelOne, s’appuient uniquement sur des modèles de Machine Learning pré-entraînés.

L’Analyse des comportements surveille les processus, les fichiers et les événements de registre au fil du temps, afin de détecter et de bloquer les comportements et les processus malveillants. Elle analyse également la mémoire, inspecte les processus en cours d’exécution afin de détecter les codes malveillants qui ne sont révélés qu’au cours de l’exécution du processus, et détecte les attaquants qui implantent des codes malveillants dans la mémoire d’un processus en cours d’exécution aux fins d’échapper à la détection.

L’Anti-exploit protège l’intégrité des processus en renforçant la mémoire des applications et en appliquant des garde-fous pour l’exécution du code au moment de l’exécution. Plus de 60 techniques anti-exploit de Sophos Endpoint sont activées par défaut. Elles ne nécessitent ni formation ni réglage et vont bien au-delà des protections fournies par le système d’exploitation Windows natif ou par la plupart des autres solutions de sécurité Endpoint.

Certains éditeurs, dont Carbon Black, SentinelOne et Microsoft, ne disposent pas d’un système d’atténuation des exploits très complet ou nécessitent un réglage manuel important.

Le Verrouillage des applications empêche l’utilisation abusive des navigateurs et des applications en bloquant les actions qui ne sont pas généralement associées à ces processus. C’est le cas par exemple d’un navigateur web ou d’une application Office qui tente de lancer PowerShell.

L’Interface (AMSI) détermine si les scripts (par exemple, PowerShell ou les macros Office) sont sûrs, y compris s’ils sont obfusqués ou générés au moment de l’exécution. Elle bloque ainsi les attaques sans fichier où le malware est chargé directement à partir de la mémoire. Sophos dispose également d’une solution propriétaire pour contrer les malwares qui tentent d’échapper à la détection AMSI.

La Détection du trafic malveillant (MTD) permet de détecter un appareil qui tente de communiquer avec un serveur C2 (Command and Control) en interceptant le trafic provenant de processus autres que le navigateur et en analysant s’il est destiné à une adresse malveillante.

La Surveillance de l’intégrité des fichiers (FIM) permet d’identifier les modifications apportées aux fichiers critiques sur les serveurs Windows. Vous pouvez également définir des emplacements et des exclusions pour identifier les modifications apportées à des fichiers, dossiers, clés de registre ou valeurs de registre spécifiques.

Le Data Lake de Sophos intègre une télémétrie complète provenant d’un portefeuille étendu de solutions Sophos et tierces (non Sophos), notamment les technologies Endpoint, mobile, pare-feu, réseau, email et Cloud. Il vous permet d’accéder aux données critiques et aux détections de menaces priorisées par l’IA sur de multiples surfaces d’attaque.

La fonctionnalité Live Discover vous permet d’interroger les appareils pour analyser leur activité. Elle utilise la technologie osquery pour surveiller et consigner l’état et les attributs des appareils dans les journaux d’événements, et utilise des garde-fous pour limiter l’impact des requêtes sur l’appareil. Vous pouvez interroger les informations du Data Lake de Sophos pour plusieurs appareils, y compris ceux qui sont hors ligne.

La fonctionnalité Live Response fournit un terminal sécurisé dans votre console Sophos Central, pour vous permettre de vous connecter directement aux appareils à investiguer et résoudre d’éventuels problèmes de sécurité. Exécutez des commandes pour arrêter les processus suspects, redémarrer les appareils dotés de mises à jour en attente, supprimer des fichiers et bien plus encore, avec un accès shell complet, sécurisé et audité.

Certains fournisseurs n’offrent qu’un ensemble limité de commandes par le biais de leurs consoles.

Instantanés d’analyse. Lorsqu’une menace est détectée, un fichier de capture instantanée de l’activité en cours est créé sur le disque de l’appareil. Vous pouvez récupérer à distance ces instantanés d’analyse pour effectuer des analyses supplémentaires.

L’Isolement des appareils vous permet d’isoler un terminal de votre réseau pour contenir une menace ou effectuer une investigation. L’isolement bloque le trafic TCP et UDP, et empêche l’appareil d’établir des connexions réseau.

L’agent Endpoint unifié de Sophos comprend notre suite complète de fonctionnalités de protection, de détection et de réponse. Les entreprises peuvent également bénéficier des capacités de détection et de réponse de Sophos avec une protection Endpoint non Sophos grâce à l’option légère ‘XDR Sensor’ et à une gamme d’intégrations de solutions tierces clés en main.

Certains éditeurs, dont CrowdStrike et Microsoft, ne prennent pas en charge l’utilisation de technologies Endpoint tierces.

Sophos fournit une plateforme unifiée d’opérations de sécurité et des outils qui vous permettent de détecter, d’investiguer et de répondre aux menaces, à travers tous les vecteurs d’attaque clés, dans les plus brefs délais. Apprenez-en plus sur la suite complète des puissantes fonctionnalités de Sophos en matière de fonctionnalités EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response).