Rozwiązania EDR i XDR

Rozwiązania EDR (Endpoint Detect & Response) zbierają dane z punktów końcowych – komputerów, laptopów, telefonów, stacji roboczych – wykorzystują je do identyfikacji potencjalnych zagrożeń i zapewniają pomocne sposoby badania i reagowania na te potencjalne zagrożenia – nowoczesne rozwiązania dokonują również automatyzacji z późniejszym raportowaniem.

WithSecure Elements Endpoint Detection and Response (EDR)

Rozwiązanie WithSecure Elements Endpoint Detection and Response zostało stworzone z myślą o detekcji i reakcji na zagrożenia występujące na stacjach końcowych. Zapewnia automatyzację i przyspiesza proces wykrywania naruszeń bezpieczeństwa kluczowych zasobów biznesowych organizacji.

Opis produktu:

Monitorowanie aktywności na stacjach końcowych za pomocą lekkich agentów zapewniających przesyłanie w czasie rzeczywistym wszelkich incydentów bezpieczeństwa do analizy w chmurze WithSecure.

Wspomaganie analizy zachowań za pomocą funkcjonalności Broad Context Detection™, zwiększającej efektywność i skuteczność detekcji podejrzanych aktywności

Możliwość weryfikacji wykrytych incydentów dzięki dostępności szczegółowych raportów zawierających szeroko kontekstowy zestaw informacji

Weryfikacja detekcji raz z zestawem porad jak wyeliminować dane zagrożenie (możliwość przekazania sprawy bezpośrednio do zespołu bezpieczeństwa WithSecure)

Korzyści rozwiązania:

  • Natychmiastowy wgląd w środowisko i stan bezpieczeństwa
  • Analiza zachowań w czasie rzeczywistym wraz z funkcją Broad Context Detection™ pozwalająca wykryć podejrzane działania i ataki
  • Szczegółowe informacje o atakach w szerszym kontekście
  • Wskazówki jak poradzić sobie z danym problemem
  • Możliwość uzyskania pomocy bezpośrednio od WithSecure

Cylance® Optics

Cylance Optics umożliwia centrom operacji bezpieczeństwa (SOC) i analitykom bezpieczeństwa wykrycie wczesnych oznak naruszenia, tak aby reakcje zapobiegawcze mogły być szybko rozpoczęte w celu zminimalizowania szkód. Cylance Optics uzbraja również analityków w narzędzia do wyszukiwania zagrożeń i analizy przyczyn źródłowych, których potrzebują, aby odróżnić subtelne sygnały zagrożenia od przypadkowego szumu rutynowych działań.

Cylance Optics jest właściwym rozwiązaniem dla organizacji, które chcą:

  • Zmniejszyć MTTD i MTTR poprzez powstrzymywanie zagrożeń za pomocą dostępnych na żądanie pakietów i zautomatyzowanych playbooków
  • Usuwać zagrożenia poprzez szybkie przywracanie zagrożonych systemów do pierwotnego stanu
  • Przeszukiwanie danych z punktów końcowych w poszukiwaniu plików, plików wykonywalnych, obiektów MITRE ATT&CK i innych wskaźników kompromitacji
  • Ochrona punktów końcowych bez ograniczania wydajności
  • Szybka identyfikacja oznak ataku ukrytych w masie danych z punktów końcowych
  • Zwiększenie ich odporności poprzez usprawnienie wyszukiwania zagrożeń i analizy przyczyn źródłowych

Kluczowe funkcjonalności:

Oparty na chmurze Cylance Optics zapewnia monitorowanie i widoczność, które obejmują całą organizację, umożliwiając wykrywanie i polowanie na zagrożenia zarówno dla urządzeń online, jak i offline.

Zabezpieczenia Cylance oparte na sztucznej inteligencji pro aktywnie wykrywają i automatyzują możliwości reagowania. Dzięki temu można wykrywać i neutralizować zaawansowane cyber zagrożenia w ciągu milisekund, a nie godzin czy dni.

Cylance Optics łagodzi i powstrzymuje zagrożenia w punktach końcowych – minimalizując powierzchnię ataku i potencjalne ruchy boczne. Dzięki temu zespoły IT SOC mają więcej czasu na wykonywanie istotnych obowiązków, zamiast monitorować i ponownie analizować zagrożone punkty końcowe.

Cylance Optics posiada wbudowany playbook z automatycznymi reakcjami na incydenty w celu zmniejszenia zagrożeń punktów końcowych. Dzięki automatycznemu zbieraniu istotnych informacji dotyczących bezpieczeństwa w celu polowania i analizy kryminalistycznej, oszczędza czas analityków SOC.

Zaawansowane, intuicyjne możliwości tworzenia kwerend za pomocą Query zostały przygotowane specjalnie dla MITRE ATT&CK®. Zostały one zaprojektowane tak, aby umożliwić głęboki wgląd w zagrożenia i analizę kryminalistyczną z doskonałymi pakietami retencji danych.

Intuicyjny konfigurator procesów z metodą Drag&Drop

Cylance zapewnia wszystko, aby zabezpieczyć punkty końcowe – konfigurację, monitorowanie, wyszukiwanie zagrożeń, obsługę incydentów i remediację. Zespoły Cylance Guard posiadają strategię, doświadczenie i technologię niezbędną do pro aktywnego zapobiegania zagrożeniom i ograniczania incydentów bezpieczeństwa poprzez korelowanie i analizowanie danych alarmowych i telemetrycznych z całego środowiska informatycznego organizacji. Korzystając z wiedzy i metod zespołu Cylance Incident Response (IR), analitycy firmy Cylance analizują środowiska klientów w celu znalezienia i powstrzymania zagrożeń, zapobiegania poważnym naruszeniom oraz pomagania organizacjom w dojrzewaniu ich procesów bezpieczeństwa.

Konsoliduje dane alarmowe i telemetryczne pochodzące od użytkowników, komputerów stacjonarnych, serwerów, urządzeń mobilnych i sieci poprzez bezproblemową integrację z rozwiązaniami Cylance AI oraz produktami innych firm.

Wykorzystuje sztuczną inteligencję (AI) do identyfikacji i zapobiegania złośliwemu oprogramowaniu zanim zdąży się ono uruchomić. Posiada również funkcje zapobiegania atakom opartym na skryptach, bez plików, pamięci i urządzeniach zewnętrznych.

Rozszerza korzyści predykcyjne i możliwości zapobiegania zagrożeniom oferowane przez Cylance AI na systemy iOS® i Android™. Zabezpiecza BYOD i inne technologie mobilne przed złośliwym oprogramowaniem, przestarzałym/niesprawnym oprogramowaniem, atakami typu phishing/smishing URL oraz niebezpiecznymi połączeniami sieciowym

Rozszerza zakres zapobiegania zagrożeniom poza uniemożliwianie działania złośliwych plików i skryptów. Cylance Optics wykorzystuje matematyczne modele zagrożeń na urządzeniach w celu przeprowadzenia analizy przyczyn źródłowych, inteligentnego wykrywania zagrożeń oraz automatycznego rozpoznawania, reagowania i naprawiania.

Zapewnia krytyczne usługi Zero Trust Network Access (ZTNA), takie jak wykrywanie zagrożeń sieciowych wspomagane przez sztuczną inteligencję, blokowanie źródłowego IP, możliwość pełnego/oddzielonego tunelu oraz dostęp do aplikacji.

Wykonuje ciągłe uwierzytelnianie i elastyczną kontrolę polityki poprzez opartą na sztucznej inteligencji analizę lokalizacji użytkownika, analizę behawioralną, wzorce organizacyjne przepływu pracy i inne dane telemetryczne dotyczące bezpieczeństwa.

Cylance Guard zawiera również wbudowane integracje z danymi z wybranych produktów innych firm, jak również opcje usług integracji dodatkowych narzędzi w razie potrzeby. Analitycy Cylance Guard mogą dodatkowo wzbogacić i nadać kontekst informacjom o zagrożeniach Cylance Guard poprzez wykorzystanie sztucznej inteligencji Cylance AI do analizy danych dziennika z agregowanych przez aplikację SIEM lub poprzez korelację alarmów Cylance Guard z alarmami wywołanymi przez zestawy reguł SIEM.

Sugerowanie kolejnych kroków dzięki regułom biznesowym i uczeniu maszynowemu

Produkty WatchGuard EPDR i WatchGuard EDR są unikalnie zasilane przez zautomatyzowane procesy oparte na sztucznej inteligencji oraz posiadają usługi typu Threat Hunting, prowadzone przez analityków bezpieczeństwa WatchGuard.

Większość produktów zabezpieczających punkty końcowe blokuje to, o czym wiadomo, że jest szkodliwe, bada to, co jest podejrzane, i zezwala na to, co nie jest znane – co umożliwia złośliwemu oprogramowaniu, które szybko zmienia się, aby ominąć mechanizmy obronne wraz z innym nieznanym ruchem. Natomiast produkty WatchGuard EDR i WatchGuard EPDR są wyposażone w usługę Zero-Trust Application Service, która klasyfikuje 100% plików wykonywalnych, analizując wszystkie podejrzane i nieznane procesy i aplikacje za pomocą specjalnych algorytmów uczenia maszynowego na platformie WatchGuard w chmurze, a w razie potrzeby weryfikując je nawet z technikami laboratoryjnymi. W rezultacie wszystkie pliki wykonywalne są rozpoznawane jako dobre lub złośliwe oprogramowanie, dzięki czemu agenci otrzymują tylko potwierdzone alerty z najwyższą ochroną wynikającą z domyślnej pozycji odmowy w modelu zero-trust model.

Odnajdywanie ukrytych zagrożeń

Oparty na chmurze Cylance Optics zapewnia monitorowanie i widoczność, które obejmują całą organizację, umożliwiając wykrywanie i polowanie na zagrożenia zarówno dla urządzeń online, jak i offline.

Polowanie na zagrożenia zazwyczaj wymaga wysoko wykwalifikowanej kadry i zajmuje wiele godzin, zanim wykryje zagrożenia i dostarczy informacji, które pozwolą jasno określić sposób ich usunięcia. Zaawansowane rozwiązania EDR oferują usługę polowania na zagrożenia, w ramach której analitycy bezpieczeństwa WatchGuard monitorują środowisko punktów końcowych klienta i dostarczają informacje o potencjalnych trwających atakach, w tym analizę przyczyn źródłowych, wykryte anomalie, istotne spostrzeżenia informatyczne oraz plany redukcji powierzchni ataku. Jest to standardowa funkcja dołączana do produktów WatchGuard EDR i WatchGuard EPDR, dzięki której firmy nie muszą poświęcać czasu i energii personelu IT na samodzielne badanie zainfekowanych punktów końcowych.

Enhanced Security Policies umożliwia profesjonalistom ds. bezpieczeństwa nadzorowanie lub wzmacnianie punktów końcowych przed wykonywaniem podejrzanych skryptów i powszechnych technik ataku wykorzystywanych przez zaawansowane zagrożenia (PowerShell, nieznane skrypty itd.).

Signature files and heuristic technologies, znane jako tradycyjna ochrona punktów końcowych (EPP), tworzą warstwę technologii antywirusowej nowej generacji, która ma potwierdzoną skuteczność w walce z wieloma powszechnymi, niskimi zagrożeniami oraz blokowaniem złośliwych adresów URL.

IoC Search capability umożliwia zespołom ds. bezpieczeństwa szybkie przeszukiwanie niedawno ujawnionych incydentów oraz odnajdywanie dotkniętych punktów końcowych w analizie śledczej. Obsługiwane są różne typy wskaźników, takie jak MD5/SHA256, nazwa pliku/ścieżka, domena/IPv6/IPv4 oraz reguły Yara.

Contextual detection jest bardzo skuteczny przeciwko atakom opartym na skryptach, atakom wykorzystującym narzędzia systemowe, takie jak PowerShell, WMI, itp., oraz atakom internetowym raz podatności przeglądarek internetowych i innych często atakowanych aplikacji, takich jak Java, Adobe i wiele innych.

Anti-exploit technology wyszukuje i wykrywa nietypowe zachowania. Ma to ogromne znaczenie dla punktów końcowych, na których nie ma poprawek lub które czekają na poprawki, a także dla punktów końcowych z systemami operacyjnymi, które nie są już wspierane.

Zero-Trust Application Service klasyfikuje 100% procesów, domyślnie odmawiając ich wykonania, dopóki nie uzyskają certyfikatu zaufania. Nie trzeba ręcznie klasyfikować zagrożeń ani delegować ich do administratorów bezpieczeństwa.

Threat Hunting Service opiera się na zestawie reguł polowania na zagrożenia stworzonych przez specjalistów ds. cyberbezpieczeństwa, które są automatycznie przetwarzane w odniesieniu do wszystkich danych zebranych z telemetrii, identyfikując wskaźniki ataku (IoAs), które minimalizują czas wykrycia i reakcji (MTTD i MTTR).

WatchGuard EPP + EPDR

  • Ochrona punktów końcowych przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i phishingiem dzięki sygnaturom, lokalnej pamięci podręcznej, własnym źródłom informacji uzyskanym na podstawie złośliwego oprogramowania wykrytego wcześniej przez WatchGuard EDR i WatchGuard EPDR.
  • WatchGuard EPP centralizuje antywirusy nowej generacji dla wszystkich komputerów stacjonarnych, laptopów i serwerów z systemami Windows, macOS i Linux, a także dla wiodących systemów wirtualizacji i urządzeń z systemem Android. Rozwiązanie pozwala centralnie zarządzać bezpieczeństwem i poufnością danych przechowywanych na smartfonach i tabletach z systemem Android.
  • Znajduje exploity zero-day przy użyciu heurystyki behawioralnej i znanych wskaźników ataków jako „reguł kontekstowych”.
  • Zapewnia skuteczną ochronę punktów końcowych (EDR) przed atakami zero-day, oprogramowaniem ransomware, cryptojackingiem i innymi zaawansowanymi atakami ukierunkowanymi przy użyciu nowych i powstających modeli AI opartych na uczeniu maszynowym.

Rozszerzenie bezpieczeństwa, widoczności i możliwości operacyjnych

Opcjonalne moduły dostępne ze wszystkimi produktami bezpieczeństwa EPP i EDR:

to rozwiązanie do centralnego zarządzania aktualizacjami i poprawkami dla systemów operacyjnych oraz setek aplikacji innych firm i nieobsługiwanych programów (EOL).

WatchGuard Full Encryption wykorzystuje technologię BitLocker firmy Microsoft do szyfrowania i odszyfrowywania informacji z punktów końcowych z centralnym zarządzaniem kluczami odzyskiwania z platformy zarządzania WatchGuard Cloud.

WatchGuard Advanced Reporting Tool automatycznie generuje informacje o zabezpieczeniach i udostępnia narzędzia umożliwiające identyfikację ataków i nietypowych zachowań oraz wykrywanie wewnętrznych nadużyć w sieci korporacyjnej.

WatchGuard SIEM Feeder umożliwia uzyskanie nowego źródła informacji o znaczeniu krytycznym dla bezpieczeństwa wszystkich procesów uruchamianych na urządzeniach, które są stale monitorowane.

WatchGuard DNSWatchGO zapewnia ochronę na poziomie DNS i filtrowanie treści, co zabezpiecza firmy przed phishingiem, oprogramowaniem ransomware i innymi atakami nawet wtedy, gdy użytkownicy znajdują się poza siecią, bez konieczności korzystania z VPN.

Extended Detection and Response (XDR) to nowoczesne podejście w dziedzinie cyberbezpieczeństwa, które integruje różne narzędzia detekcji i odpowiedzi na zagrożenia w jedną kompleksową platformę. XDR jest zaprojektowany w celu zwiększenia wydajności i efektywności w odkrywaniu, analizie oraz reagowaniu na zaawansowane ataki cybernetyczne, zarówno na poziomie endpointów, jak i w całej infrastrukturze sieciowej. Dzięki temu XDR umożliwia wykrywanie i analizowanie zaawansowanych zagrożeń cybernetycznych, a także skuteczną reakcję na nie poprzez automatyczne podejmowanie działań lub wskazówki dla analityków bezpieczeństwa.

Extended Detection and Response (XDR) to nowoczesne podejście w dziedzinie cyberbezpieczeństwa, które integruje różne narzędzia detekcji i odpowiedzi na zagrożenia w jedną kompleksową platformę. XDR jest zaprojektowany w celu zwiększenia wydajności i efektywności w odkrywaniu, analizie oraz reagowaniu na zaawansowane ataki cybernetyczne, zarówno na poziomie endpointów, jak i w całej infrastrukturze sieciowej. Dzięki temu XDR umożliwia wykrywanie i analizowanie zaawansowanych zagrożeń cybernetycznych, a także skuteczną reakcję na nie poprzez automatyczne podejmowanie działań lub wskazówki dla analityków bezpieczeństwa.

Hillstone iSource | XDR

Hillstone iSource to oparta na danych i sztucznej inteligencji platforma Extended Detection and Response (XDR), która integruje ogromne ilości danych dotyczących bezpieczeństwa, koreluje i bada incydenty, identyfikuje potencjalne zagrożenia i automatycznie koordynuje zabezpieczenia w celu spójnego reagowania na wiele produktów i platform bezpieczeństwa. Jest to rozwiązanie on-premise wdrażane jako software. Dostępne są trzy modele, które oferują różną wydajność i wymagają odpowiedniej konfiguracji sprzętowej. iSource wprowadza radykalnie nowe podejście do cyberbezpieczeństwa z niezrównaną wydajnością operacji bezpieczeństwa.

Rozwiązanie XDR firmy Hillstone gromadzi szeroką gamę danych z niemal każdej usługi bezpieczeństwa w chmurze, sieci i punktach końcowych. Następnie konsoliduje te dane w celu dalszego przechowywania i analizy. Proces ten zapobiega silosowaniu informacji o bezpieczeństwie i znacznie redukuje martwe punkty, jednocześnie poprawiając dokładność wykrywania.

Dzięki synergii danych zebranych z wielu produktów bezpieczeństwa z najlepszymi partnerami w zakresie analizy zagrożeń, Hillstone XDR może wykrywać nawet ukryte ataki. Silniki analizy zachowań i korelacji zapewniają kontekstowe i bardzo dokładne wykrywanie anomalii.

Hillstone XDR wykorzystuje wiodące w branży rozwiązanie do oceny podatności i obsługuje dodawanie innych skanerów, a także ręczne importowanie raportów o podatnościach. Kompleksowe zarządzanie ryzykiem dla serwerów, punktów końcowych, aplikacji i innych zasobów identyfikuje i łagodzi potencjalne zagrożenia.

Po wykryciu zagrożenia lub luki w zabezpieczeniach, nasze rozwiązanie iSource XDR może automatycznie koordynować reakcję na urządzeniach zabezpieczających Hillstone i niektórych produktach innych firm. Wbudowane szablony zapewniają zoptymalizowane przepływy pracy i reakcje. Niestandardowe szablony mogą być definiowane w celu spełnienia różnych wymagań. Zadania manualne, takie jak przypadki incydentów do dalszego zbadania przez analityków bezpieczeństwa, mogą być również tworzone automatycznie poprzez zdefiniowanie ich w szablonach.

Konfigurowalny pulpit nawigacyjny umożliwia prosty i szybki dostęp do stanu bezpieczeństwa organizacji dzięki kompleksowym informacjom statystycznym, a także podsumowaniu incydentów i trendów bezpieczeństwa za pomocą graficznych wykresów i list. Konfigurowalne raporty XDR mogą być generowane zgodnie z harmonogramem lub na żądanie.

Rozwiązanie posiada prosty model licencjonowania.

Do wyboru mamy jedną z trzech poniższych opcji, różnią się one przepustowością oraz przetwarzaniem wydarzeń na sekundę: