Практическое применение системы Symantec EDR
Недавно технический эксперт компании Oberig IT Назарий Кунда, рассказал детально о работе Symantec EDR. Далее в статье, вы сможете ознакомиться более детально с работой этой системы.
Управление Symantec Endpoint Detection and Response осуществляется из единой консоли управления решением Symantec Advanced Threat Protection. На главном экране Symantec ATP показана «Информационная панель» с графическим отображением активностей событий, статистикой и информацией о количестве событий и потенциальных угроз.
Пример «Информационная панель» Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
В основном меню Symantec ATP есть такие разделы:
- Поиск
- Основная панель
- Инциденты
- Политики
- События
- Отчёты
- Настройки.
В разделе «Инциденты» мы сможем увидеть список найденных проблем с графическим отображением во времени. Для реагирования на различные прецеденты необходимо выбрать один из списка и перейти к деталям.
Список обнаруженных инцидентов в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
Во вкладке менеджера по инцидентам показывается вся информация по проблемам — описание, рекомендации по устранению, уровень критичности, определение направленной угрозы, дата и время возникновения и статус.
При переходе к деталям показываются события инцидента в графическом виде, что были учтены при определении угрозы — схема рабочих мест, сетевого оборудования файлов и других компонентов. Проблемы подразумевают ручное принятие решения, поэтому у них разные статусы (открытый и закрытый). После просмотра деталей проблемы, специалист по кибербезопасности может выполнить разнообразные операции — изолировать зараженные компьютеры, удалить файлы, добавить инцидент в исключение или отдать команду на автоматическую реакцию по аналогичным инцидентам. После принятия решения инцидент закрывается и исчезает из общего отображения инцидентами в консоли управления системой.
Пример отображений детальной информации по проблемам в Symantec ATP и Symantec EDR
Все инциденты могут быть доступны для детального изучения. Например, при обнаружении потенциально опасной программы доступны полная информация по исполняемому файлу, сводки о его репутации в мировой сети Symantec, данные из “песочницы” об активности в изолированной среде и информация о действиях в реальных системах.
Из интерфейса управления Symantec ATP можно узнать всё необходимое про вредоносный файл, добавить в список угроз или исключений, проверить в “песочнице” (если этого ещё не произошло), проверить в онлайн-базе «VirusTotal», скопировать для ручного просмотра, удалить его или оставить комментарий.
Детализация по анализу потенциально вредоносных файлов, угроз в Symantec Advanced Threat Protection и Symantec Endpoint Detection and Response
В решении Symantec ATP присутствует глобальный поиск, включая поиск по «индикаторам компрометации». Поиск осуществляется по защищаемым компьютерам, файлам, действиям пользователей и другим параметрам.
Посредством поиска можно эффективно организовать расследование различных случаев нарушения кибербезопасности. Для руководителей по информационной безопасности будет полезна функциональность отчетов. Данная функция является отличной возможностью собрать и визуализировать основные показатели по функциональности решения, активности конечных точек, реакции специалистов на инциденты информационной безопасности и уровень защищенности ИТ-инфраструктуры.
Таким образом, видим, что система Symantec EDR не сложная в своём управлении. При этом она надёжно защищает от потенциальных угроз данные компаний. Это очень актуальное решение в наше время, когда хакерских атак становиться всё больше и уровень их сложности растет.