Analisi dettagliate nell’intera struttura informatica

Sophos EDR consente di formulare rapidamente domande dettagliate su tutti i dispositivi endpoint e i server. Le query SQL personalizzabili e subito pronte all’uso permettono di svolgere analisi approfondite: un elemento essenziale per l’identificazione delle minacce più elusive.

I casi di utilizzo includono:

  • Quali processi stanno cercando di stabilire una connessione di rete su porte non standard?
  • Elenco degli indicatori di compromissione (Indicator of Compromise, IoC) mappati al framework MITRE ATT&CK
  • Visualizzazione dei processi che hanno recentemente modificato file o chiavi di registro
  • Ricerca di dettagli relativi alle esecuzioni di PowerShell
  • Identificazione dei processi che si spacciano per file services.exe
  • Query SQL preimpostate e completamente personalizzabili
  • Accesso rapido a un massimo di 90 giorni, archiviazione dei dati su disco
  • Compatibile con Windows, Mac* e Linux

Risposta precisa e accurata da remoto

Con Intercept X intraprendere l’azione più appropriata è facile, anche su dispositivi che non sono raggiungibili fisicamente. La stessa console di gestione in cloud consente di accedere ai dispositivi da remoto per svolgere ulteriori indagini, installare e disinstallare software e per correggere eventuali altri problemi.

Utilizzando un terminale remoto a riga di comando è possibile:

  • Eseguire strumenti di analisi approfondita
  • Terminare processi attivi
  • Eseguire script o programmi
  • Riavviare i dispositivi
  • Modificare file di configurazione
  • Installare/disinstallare software

Rilevamento ed eliminazione delle minacce più elusive

Utilizzare Sophos EDR per effettuare rapidamente la scansione dell’ambiente informatico alla ricerca di indicatori di compromissione è un processo rapido e semplicissimo. Ecco un esempio:

1Identificazione dell’attività

Ad esempio, ricerca di un processo che cerca di connettersi a una porta non standard.

2Formulazione della domanda

È possibile utilizzare una query SQL preimpostata per effettuare la scansione alla ricerca dei tentativi di accesso a porte non standard.

3Risultati

La query analizza endpoint e server, per identificare eventuali connessioni. Viene segnalato un server.

4Azione

Accesso da remoto al server per eseguire indagini approfondite e terminare il processo sospetto.

5Eliminazione della lacuna di sicurezza

La stessa console di gestione permette di rimuovere ogni traccia del processo e bloccarlo nell’intera struttura informatica.

Protezione dell’integrità delle IT security operation

Le stesse potentissime funzionalità che permettono di svolgere attività avanzate di threat hunting sono anche estremamente efficaci per la gestione operativa del sistema di IT security. Potete investigare rapidamente su endpoint e server per accertarvi che tutti i sistemi siano operativi ai massimi livelli di performance, e per monitorare eventuali vulnerabilità di sicurezza risolte.

Potete formulare domande come le seguenti:

  • Perché un computer è particolarmente lento? È in attesa di riavvio?
  • Su quali dispositivi sono presenti vulnerabilità note, servizi sconosciuti o estensioni del browser non autorizzate?
  • Ci sono programmi in esecuzione sul computer che dovrebbero essere rimossi?

Con le risposte a queste domande, potrete facilmente intraprendere azioni da remoto sui dispositivi interessati, al fine di risolvere vulnerabilità di sicurezza, disinstallare estensioni del browser indesiderate, riavviare il dispositivo e altre opzioni.

Supporto di piattaforme e sistemi operativi multipli

Sophos EDR offre capacità avanzate di formulazione di query SQL, che garantiscono le opzioni di analisi approfondita necessarie per identificare e bloccare gli attacchi più elusivi. Permette di effettuare la scansione di endpoint e server, sia on-premise che in cloud, su sistemi operativi Windows, MacOS* e Linux.

Intercept X e Intercept X for Server includono anche l’accesso alla nostra protezione avanzata contro le minacce più recenti e inedite, inclusi ransomware, attacchi indipendenti dai file e attacchi a livello di memoria.

  Intercept X Advanced with EDR Intercept X Advanced for Server with EDR
Protezione dell’integrità delle IT security operation
(EDR)
tick tick
Threat hunting guidato
(EDR)
tick tick
Tecniche fondamentali
(incl. controllo delle app, rilevamento basato sul comportamento e altro)
tick tick
Tecniche next-gen
(incl. deep learning, antiransomware, protezione contro gli attacchi indipendenti dai file e altro)
tick tick
Funzionalità specifiche per i server
(incl. whitelisting, monitoraggio dell’integrità dei file e altro)
  tick

* Supporto di Mac disponibile prossimamente