Sophos Endpoint Agent 概览
Sophos 提供强大的攻击面减少、威胁防御以及侦测与响应功能,同时保持比许多常见业务应用程序更小的代理占用空间。许多竞争对手的解决方案缺乏同样的深度和广度,先考虑代理规模而非保护强度。
您能承受没有这些卓越防护的后果吗?
威胁面减少
早期阻止攻击的所需资源相较于在攻击链的后期进行监控和修复要低得多。在端点上拦截网络流量为公司网络内外的用户提供了强大的防护效益。缺乏这种全方位威胁面减少功能的解决方案在攻击渗透您的系统之前阻止攻击的机会较少。
Web 防护 |
Web 防护拦截出站的浏览器连接,阻止导向恶意或可疑网站的流量。它防止用户被重定向到恶意软件交付或网络钓鱼网站,以在交付阶段阻止威胁。 
|
Web 控制 |
Web Control 使用相同的流量拦截技术,使您能够阻止对不受欢迎或不适当的内容的访问,例如成人和赌博网站。
|
下载信誉 |
Download Reputation 下载信誉在文件被下载时使用 SophosLabs 全球威胁情报来分析,根据文件的流行度、建立时间和来源提供评估,提示用户阻止低信誉或未知信誉的文件。
|
应用程序控制 |
Application Control 应用程序控制使您能够阻止可能易受攻击、不适合您的环境或可能被用于恶意目的的应用程序。Sophos 提供了预定义的类别,以阻止或监控应用程序,从而免除通过哈希值阻止单个应用程序的繁琐任务。
|
外围(设备)控制 |
Peripheral (Device) Control 外围(设备)控制使您能够监控和阻止对可移动媒体、蓝牙和移动设备的访问,以防止某些设备连接到您的网络。
|
数据丢失防护(DLP) |
DLP 数据丢失防护监控并限制包含敏感数据的文件的传输。例如,防止员工使用基于网络的电子邮件将机密文件发送回家。
|
服务器锁定 |
Server Lockdown 服务器锁定只允许受信任的应用程序及其关联文件运行和更改其他文件。Sophos 记录已安装的软件,检查其安全性,并且只在服务器被锁定时允许这些应用程序运行。
|
威胁预防
在攻击链的早期阻止更多的威胁使您能够专注于调查更少的事件。一些侦测与响应解决方案侧重于收集遥测数据以进行调查,而牺牲了提供全面的预防,以维持减少的代理占用空间。Sophos 提供了更广泛的威胁预防功能,其有效性在多个独立测试中持续获得顶级评分获得验证。
严密的勒索软件防护 (CryptoGuard)观看影片 |
Sophos 的 CryptoGuard 技术可监控文件内容是否存在恶意加密,从而实时阻止这恶意进程,无论它是在受害者的计算机上运行,还是在遭入侵的网络连接设备上运行。这种通用方法可以保护您的数据免受本地和远程攻击,包括新的勒索软件变体。我们专有的自动回滚机制可以将加密文件恢复到其原始状态,而非依赖于攻击者经常锁定的卷影复制服务 (VSS)。 Sophos Endpoint 是针对远程勒索软件最强大的 Zero-touch 端点防御产品。
|
自适应攻击防护观看影片 |
当侦测到“手按键盘”攻击时,Adaptive Attack Protection 自适应攻击防护会自动在端点上启用更积极的保护,阻止攻击敌手通常执行的操作,例如尝试运行远程管理工具或低信誉可执行文件。 没有其他厂商提供类似的针对主动敌手的自适应防护。
|
深度学习(AI 驱动)恶意软件防御 |
深度学习(AI 驱动)恶意软件防御分析二进制文件,根据文件属性和预测性推理做出决策。深度学习是机器学习的一种先进形式,可以侦测和阻止包括新的和前所未见的威胁在内的恶意软件。
|
实时防护 |
Live Protection 实时防护通过实时查找 SophosLabs 最新的全球威胁情报,扩展了 Sophos 全面的设备上防护,以获取额外的文件环境信息、决策验证、误报抑制和文件声誉。我们的一级威胁研究提供了来自 Sophos 广泛的产品组合和全球客户群的额外实时情报。 一些厂商,包括 Carbon Black、CrowdStrike 和 SentinelOne,完全依赖于预先训练的机器学习模型。
|
行为分析 |
Behavior Analysis 行为分析随着时间的推移监控进程、文件和注册表事件,以侦测和停止恶意行为和进程。它还执行内存扫描,检查正在运行的进程以便侦测只有在进程执行过程中才能发现的恶意代码,并侦测攻击者为规避侦测在运行进程的内存中植入恶意代码。
|
防漏洞利用攻击 |
Anti-Exploitation 防漏洞利用攻击通过加固应用程序内存和应用运行时代码执行防护栏,来保护进程的完整性。在 Sophos Endpoint 中超过 60 种反利用技术已默认启用,无需培训或调优,并且远远超越了本机 Windows 操作系统或大多数其他端点安全解决方案提供的防护。 一些厂商,包括 Carbon Black、SentinelOne 和 Microsoft,缺乏广泛的漏洞利用缓解措施,或者需要大量的手动调优。
|
应用程序锁定 |
Application Lockdown 应用程序锁定通过阻止通常与这些进程不相关的操作来防止浏览器和应用程序的滥用。例如,web 浏览器或 Office 应用程序试图启动 PowerShell。
|
防恶意软件扫描界面 (AMSI) |
Antimalware Scan Interface (AMSI) 防恶意软件扫描界面断定脚本(例如,PowerShell 或 Office Macros)是否安全,包括它们是否被混淆或在运行时生成,从而阻止从内存直接加载恶意软件的无文件攻击。Sophos 还拥有针对试图逃避 AMSI 侦测的恶意软件的专有缓解措施。
|
恶意流量侦测 |
Malicious Traffic Detection 恶意流量侦测通过拦截来自非浏览器进程的流量,并分析其是否指向恶意地址,以侦测设备是否试图与命令和控制 (C2) 服务器通信。
|
文件完整性监测 (FIM) |
File Integrity Monitoring(FIM) 文件完整性监测识别 Windows 服务器上对系统关键文件的更改。您还可以定义位置和排除项,以识别特定文件、文件夹、注册表键或注册表值的更改。
|
侦测、调查与响应
发现得越多,响应就越迅速。Sophos 为您提供了在调查和有效应对环境中的可疑活动所需数据的广度和深度。对设备活动进行全面记录对代理占用空间的影响微小,但对响应效能的影响大。如有需要,您可以限制在设备上用于此目的的磁盘空间以及数据收集的时间。
Sophos Data Lake |
Sophos Data Lake 集成了来自 Sophos 和第三方(非 Sophos)解决方案的广泛组合的全面遥测,包括端点、移动、防火墙、网络、电子邮件和云技术。它使您能够跨多个攻击面访问关键数据和 AI 优先级的威胁侦测。
|
Live Discover |
Live Discover功能使您能够查询设备以调查活动。它使用 osquery 技术来监控和记录事件日志中的设备状态和属性,并采用防护栏来限制查询对设备的影响。您可以在 Sophos 数据湖中查询多个设备的信息,包括离线设备。
|
Live Response |
Live Response在 Sophos Central 控制台中提供了一个安全终端,使您能够连接到设备以调查和修复可能的安全问题。运行命令来停止可疑进程、重新启动等待更新的设备、删除文件等,并具有完整的、安全的、经过审计的 shell 访问。 一些厂商通过他们的控制台只提供有限的命令集。
|
鉴证快照 |
鉴证快照。当发生威胁侦测时,会在设备的磁盘上创建当前活动的快照文件。您可以远程检索这些鉴证快照以执行其他分析。
|
设备隔离 |
设备隔离让您能够在遏制威胁,或调查期间将端点与您的网络隔离。该隔离会阻断 TCP 和 UDP 流量,并防止设备建立网络连接。
|
第三方兼容性 |
Sophos 的统一端点代理包含我们开箱即用的全套防护、侦测与响应功能。组织还可以通过使用轻量级的“XDR 传感器”选项以及一系列即插即用的第三方解决方案集成,从 Sophos 的侦测与响应功能以及非 Sophos 端点防护中受益。 包括 CrowdStrike 和 Microsoft 在内的一些厂商不支持使用第三方端点技术。
|
Sophos EDR/XDR |
Sophos 提供统一的安全操作平台和工具,使您能够在最短时间内侦测、调查与响应所有关键攻击媒介的威胁。了解有关 Sophos 完整强大的端点侦测与响应 (EDR) 以及扩展式侦测与响应 (XDR) 功能的更多信息。 |
Sophos 提供最强大的防护,同时保持高性能的解决方案和优化的代理占用空间。
仅根据代理大小选择端点安全解决方案可能会使您面临网络威胁 — 为什么要冒这个风险呢?
