27.03.2018

Практическое применение системы Symantec EDR

Недавно технический эксперт компании Oberig IT Назарий Кунда, рассказал детально о работе Symantec EDR. Далее в статье, вы сможете ознакомиться более детально с работой этой системы.

Управление Symantec Endpoint Detection and Response осуществляется из единой консоли управления решением Symantec Advanced Threat Protection. На главном экране Symantec ATP показана «Информационная панель» с графическим отображением активностей событий, статистикой и информацией о количестве событий и потенциальных угроз.

Пример «Информационная панель» Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

1ob

В основном меню Symantec ATP есть такие разделы:

  • Поиск
  • Основная панель
  • Инциденты
  • Политики
  • События
  • Отчёты
  • Настройки.

В разделе «Инциденты» мы сможем увидеть список найденных проблем с графическим отображением во времени. Для реагирования на различные прецеденты необходимо выбрать один из списка и перейти к деталям.

Список обнаруженных инцидентов в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

3ob_01

4ob

Во вкладке менеджера по инцидентам показывается вся информация по проблемам — описание, рекомендации по устранению, уровень критичности, определение направленной угрозы, дата и время возникновения и статус.

При переходе к деталям показываются события инцидента в графическом виде, что были учтены при определении угрозы — схема рабочих мест, сетевого оборудования файлов и других компонентов. Проблемы подразумевают ручное принятие решения, поэтому у них разные статусы (открытый и закрытый). После просмотра деталей проблемы, специалист по кибербезопасности может выполнить разнообразные операции — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным инцидентам. После принятия решения инцидент закрывается и исчезает из общего отображения инцидентами в консоли управления системой.

Пример отображений детальной информации по проблемам в Symantec ATP и Symantec EDR

5ob

Все инциденты могут быть доступны для детального изучения. Например, при обнаружении потенциально опасной программы доступны полная информация по исполняемому файлу, сводки о его репутации в мировой сети Symantec, данные из “песочницы” об активности в изолированной среде и информация о действиях в реальных системах.

Из интерфейса управления Symantec ATP можно узнать всё необходимое про вредоносный файл, добавить в список угроз или исключений, проверить в “песочнице” (если этого ещё не произошло), проверить в онлайн-базе «VirusTotal», скопировать для ручного просмотра, удалить его или оставить комментарий.

Детализация по анализу потенциально вредоносных файлов, угроз в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response

В решении Symantec ATP присутствует глобальный поиск, включая поиск по «индикаторам компрометации». Поиск осуществляется по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам.

Посредством поиска можно эффективно организовать расследование различных случаев нарушения кибербезопасности. Для руководителей по информационной безопасности будет полезна функциональность отчетов. Данная функция является отличной возможностью собрать и визуализировать основные показатели по функциональности решения, активности конечных точек, реакции специалистов на инциденты информационной безопасности и уровень защищенности ИТ-инфраструктуры.

Таким образом, видим, что система Symantec EDR не сложная в своём управлении. При этом она надёжно защищает от потенциальных угроз данные компаний. Это очень актуальное решение в наше время, когда хакерских атак становиться всё больше и уровень их сложности растет.