Intercept X Advanced with XDR

Individuazione proattiva e neutralizzazione delle minacce di sicurezza

Nell’attuale panorama delle minacce, i cybercriminali sono più astuti che mai: sfruttano tecniche elusive per sferrare attacchi informatici catastrofici. Quello che occorre alle organizzazioni sono strumenti che permettano di formulare domande specifiche, per identificare minacce avanzate e active adversary e intraprendere adeguate azioni correttive per bloccarle.

Con Sophos XDR, tutto questo è possibile. Le potenti opzioni di gestione delle query e la risposta da remoto consentono di:

  • Individuare rapidamente gli indicatori di compromissione (Indicator of Compromise, IoC) nell’intera struttura informatica
  • Accedere ai dispositivi da remoto per condurre indagini e correggerne i problemi
  • Svolgere attività di threat hunting guidato e risposta alle minacce

Analisi dettagliate nell’intera struttura informatica

Sophos XDR consente di formulare rapidamente domande dettagliate su tutti i dispositivi endpoint e i server. Le query SQL personalizzabili e subito pronte all’uso permettono di svolgere analisi approfondite: un elemento essenziale per l’identificazione delle minacce più elusive.

I casi di utilizzo includono:

  • Quali processi stanno cercando di stabilire una connessione di rete su porte non standard?
  • Elenco degli indicatori di compromissione (Indicator of Compromise, IoC) mappati al framework MITRE ATT&CK
  • Visualizzazione dei processi che hanno recentemente modificato file o chiavi di registro
  • Ricerca di dettagli relativi alle esecuzioni di PowerShell
  • Identificazione dei processi che si spacciano per file services.exe
  • Query SQL preimpostate e completamente personalizzabili
  • Accesso rapido a un massimo di 90 giorni, archiviazione dei dati su disco
  • Compatibile con Windows, Mac* e Linux

Risposta precisa e accurata da remoto

Con Intercept X intraprendere l’azione più appropriata è facile, anche su dispositivi che non sono raggiungibili fisicamente. La stessa console di gestione in cloud consente di accedere ai dispositivi da remoto per svolgere ulteriori indagini, installare e disinstallare software e per correggere eventuali altri problemi.

Utilizzando una riga di comando da remoto è possibile:

  • Eseguire strumenti di analisi approfondita
  • Terminare processi attivi
  • Eseguire script o programmi
  • Riavviare i dispositivi
  • Modificare file di configurazione
  • Installare/disinstallare software

Rilevamento ed eliminazione delle minacce più elusive

Utilizzare Sophos XDR per effettuare rapidamente la scansione dell’ambiente informatico alla ricerca di indicatori di compromissione è un processo rapido e semplicissimo. Ecco un esempio:

1Identificazione dell’attività

Ad esempio, ricerca di un processo che cerca di connettersi a una porta non standard.

2Formulazione della domanda

È possibile utilizzare una query SQL preimpostata per effettuare la scansione alla ricerca dei tentativi di accesso a porte non standard.

3Risultati

La query analizza endpoint e server per identificare eventuali connessioni, viene messo in evidenza un server.

4Azione

Accesso da remoto al server per eseguire indagini approfondite e terminare il processo sospetto.

5Eliminazione della lacuna di sicurezza

La stessa console di gestione permette di rimuovere ogni traccia del processo e bloccarlo nell’intera struttura informatica.

Protezione dell’integrità delle IT security operations

Le stesse potentissime funzionalità che permettono di svolgere attività avanzate di threat hunting sono anche estremamente efficaci per la gestione operativa del sistema di IT security. Potete investigare rapidamente su endpoint e server per accertarvi che tutti i sistemi siano operativi ai massimi livelli di performance, e per monitorare eventuali vulnerabilità di sicurezza risolte.

Potete formulare domande come le seguenti:

  • Perché un computer è particolarmente lento? È in attesa di riavvio?
  • Su quali dispositivi sono presenti vulnerabilità note, servizi sconosciuti o estensioni del browser non autorizzate?
  • Ci sono programmi in esecuzione sul computer che dovrebbero essere rimossi?

Con le risposte a queste domande, potrete facilmente intraprendere azioni da remoto sui dispositivi interessati, al fine di risolvere vulnerabilità di sicurezza, disinstallare estensioni del browser indesiderate, riavviare il dispositivo e altre opzioni.

Extended Detection and Response (XDR)

Sophos XDR non si ferma agli endpoint, bensì va oltre, raccogliendo dati approfonditi dalla rete, dalle e-mail, dal cloud* e dai dispositivi mobili*, per fornire un quadro più esteso dello stato di cybersecurity. Consente di passare con facilità da una prospettiva olistica a un’analisi granulare dei dettagli. È ad esempio possibile: 

  • Effettuare un controllo incrociato degli indicatori di compromissione provenienti da origini di dati multipli, al fine di identificare con precisione una minaccia e neutralizzarla
  • Utilizzare gli eventi firewall di ATP e IPS per svolgere indagini su host sospetti e identificare i dispositivi non protetti all’interno dell’ambiente informatico
  • Determinare i problemi della rete di un ufficio specifico e di scoprire qual è l’applicazione che li ha causati
  • Individuare i dispositivi non gestiti, IoT e appartenenti a utenti guest all’interno dell’ambiente dell’organizzazione

* In arrivo

Supporto di piattaforme e sistemi operativi multipli

Sophos XDR offre capacità avanzate di formulazione di query SQL, che garantiscono le opzioni di analisi approfondita necessarie per identificare e bloccare gli attacchi più elusivi. Permette di effettuare la scansione di endpoint e server, sia on-premise che nel cloud, su sistemi operativi Windows, MacOS e Linux.

Intercept X e Intercept X for Server includono anche l’accesso alla nostra protezione avanzata contro le minacce mai viste prima, inclusi ransomware, attacchi file-less e memory-based.

  Intercept X Advanced with XDR Intercept X Advanced for Server with XDR
Protezione dell’integrità delle IT Security Operations
(EDR/XDR)
tick tick
Threat hunting guidato
(EDR/XDR)
tick tick
Tecniche fondamentali
(incl. controllo delle app rilevamento basato sul comportamento e altro)
tick tick
Tecniche next-gen
(incl. deep learning, antiransomware, protezione contro attacchi file-less e altro)
tick tick
Funzionalità specifiche per i server
(incl. whitelisting, monitoraggio dell’integrità dei file e altro)
  tick