Các trường hợp sử dụng Sophos Endpoint Dectection and Reponse

1. Luôn chủ động với Intercept X Advanced with EDR và Intercept X Advanced for Server withEDR

Sophos EDR được thiết kế cho các quản trị viên và các nhà phân tích bảo mật để giải quyết các vấn đề về CNTT và sử dụng trong các trường hợp săn lùng các mối đe dọa. Nó giúp bạn nhanh chóng phát hiện các vấn đề và thực hiện bất kì hành động thích hợp.

Thực hiện các hoạt động bảo mật CNTT và nhiệm vụ săn lùng các mối đe dọa :

  • Chọn từ các truy vấn SQL được tùy chỉnh hoàn toàn hoặc được viết sẵn.
  • Nhanh chóng hành động khi có thông tin cần thiết.

Tài liệu này sẽ nêu lên một số trường hợp sử dụng phổ biến đối với tính năng EDR mạnh mẽ này.

2. Duy trì các hoạt động cần tới kỹ thuật

Sophos EDR vượt trội trong việc giúp bạn duy trì các hoạt động CNTT của bạn trong điều kiện cao điểm. Đây là một vài ví dụ về các nhiệm vụ mà Sophos EDR sẽ giúp bạn thực hiện nhanh hơn.

2.1 Kiểm tra trạng thái của thiết bị

Xác định các thiết bị đang gặp sự cố về hiệu suất sau đó truy cập chúng từ xa và thực hiện các hành động cần thiết. Bạn có thể :

  • Tìm các thiết bị có dung lượng thấp, sử dụng bộ nhớ/CPU cao hoặc đang chờ khởi động lại.
  • Truy cập từ xa các thiết bị để giải phóng dung lượng ổ đĩa, điều tra nguyên nhân của việc sử dụng cao và khởi động lại khi cần thiết.

2.2 Dò tìm các lỗ hổng trên thiết bị

Phát hiện các thiết bị có vấn đề hoặc lỗ hổng có thể bị khai thác bởi phần mềm độc hại hoặc kẻ tấn công. Bạn có thể:

  • Xác định vị trí các thiết bị có lỗ hổng phần mềm, những dịch vụ không xác định đang chạy hoặc các tiện ích không tin cậy trên trình duyệt.
  • Truy cập từ xa các thiết bị để cài đặt các bản vá, dò tìm và chấm dứt các dịch vụ không xác định và gỡ cài đặt tiện ích mở rộng trình duyệt.

2.3 Dò tìm và ngăn chặn các phần mềm không mong muốn

Theo dõi phần mềm có thể gây ra vấn đề về bảo mật hoặc vấn đề năng suất. Bạn có thể:

  • Tìm các chương trình không mong muốn như Spotify, Steam và Bittorrent
  • Truy cập thiết bị từ xa và gỡ cài đặt phần mềm

2.4 Cấu hình giám sát

Tìm máy có vấn đề về cấu hình có thể gây ra rủi ro bảo mật. Bạn có thể:

  • Xác định máy chủ có bật RDP, tài khoản khách hiện có hoặc khóa SSH không được mã hóa
  • Truy cập từ xa vào máy chủ, vô hiệu hóa RDP và tài khoản khách và mã hóa khóa SSH

2.5 Kiểm tra tính hợp lệ

Xác định vị trí các tệp nhạy cảm mà chỉ những nhân viên cụ thể mới có quyền truy cập. Bạn có thể:

  • Tìm các tệp nhạy cảm chứa thông tin tài chính hoặc chi tiết nhân viên
  • Truy cập từ xa các thiết bị không nên có các tệp và xóa chúng

2.6 Kiểm tra tiến độ triển khai

Kiểm tra xem các dự án CNTT đã được triển khai trên tất cả các thiết bị của bạn chưa. Bạn có thể:

  • Xem phần mềm đã được triển khai trên các thiết bị để đo lường tiến trình trong suốt quá trình triển khai
  • Truy cập các thiết bị từ xa để đảm bảo triển khai thành công và khởi động lại nếu cần thiết để thực hiện bất kỳ thay đổi cần thiết

3. Săn lùng các mối đe dọa

Sophos EDR cung cấp cho bạn các công cụ bạn cần để theo dõi các mối đe dọa lảng tránh, tinh vi và nhanh chóng dọn sạch chúng. Dưới đây là một vài ví dụ về các mối đe dọa bạn có thể tìm kiếm.

3.1 Tấn công mạng

Xác định các quy trình đang thực hiện các nỗ lực truy cập mạng bất thường. Những ví dụ bao gồm:

  • Phát hiện các quá trình đang cố gắng thực hiện kết nối mạng trên các cổng không chuẩn
  • Truy cập thiết bị từ xa, chấm dứt xử lý và cập nhật các quy tắc tường lửa của máy khách

3.2 Theo dõi sự thay đổi của những têp tin

Tìm các mục đã được sửa đổi một cách bất ngờ. Những ví dụ bao gồm:

  • Xác định quy trình gần đây đã sửa đổi tệp hoặc khóa đăng ký
  • Truy cập từ xa vào thiết bị, kiểm tra thay đổi và có hành động phù hợp

3.3 Phân tích các lệnh thực thi đáng ngờ

Không phải tệp tin, tấn công dựa trên bộ nhớ là một cách tấn công ngày càng phổ biến. Bạn có thể:

  • Tìm hiểu chi tiết về các lần thực thi PowerShell bất ngờ
  • Truy cập từ xa vào thiết bị, chạy công cụ bổ sung và chấm dứt quá trình nghi ngờ

3.4 Dò tìm các mối nguy hại ẩn

Một số quy trình độc hại có thể ngụy trang để tránh bị phát hiện. Những ví dụ bao gồm:

  • Phát hiện các quy trình đã ngụy trang thành services.exe
  • Truy cập từ xa vào thiết bị và chấm dứt quá trình đáng ngờ và chạy các công cụ pháp y

3.5 MITRE ATT&CK framework

MITER ATT & CK framework là một mẫu thường được sử dụng để xác định các kỹ thuật tấn công. Bạn có thể:

  • Sử dụng các truy vấn của riêng bạn hoặc Sophos được xây dựng trong các truy vấn để xác định các cuộc tấn công tiềm năng bằng cách sử dụng các chiến thuật và kỹ thuật phổ biến của đối thủ
  • Dựa trên kỹ thuật tấn công, bạn đã điều tra các cuộc tấn công hoặc khu vực theo dõi tiềm năng để kiểm tra lại

3.6 Xác định phạm vi sự cố

Hiểu tác động của sự cố và thiết bị và người dùng nào bị ảnh hưởng. Bạn có thể:

  • Xác định các thiết bị đã nhấp vào liên kết từ email lừa đảo
  • Xem thiết bị nào đã tải xuống tệp từ lừa đảo trang web, truy cập từ xa chúng và thực hiện dọn dẹp
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận