Tổng quan.
Sophos đã thông báo rằng ngày 19 tháng 5 năm 2021, sophos đã phát hành một số bản cập nhật thú vị cho tất cả khách hàng sử dụng Sophos EDR (Endpoint Detection and Response) với Intercept X Advanced with EDR and Intercept X Advanced for Server with EDR.
Sophos EDR 4.0
Giới thiệu Sophos Data Lake.
Sophos Data Lake là nơi lưu trữ thông tin quan trọng từ các endpoint và server hỗ trợ EDR, có nghĩa là bạn có quyền truy cập vào dữ liệu đó ngay cả khi các thiết bị đó hiện đang offline.
Ngoài việc có thể lấy dữ liệu quan trọng từ các thiết bị ngay cả khi chúng offline (ví dụ: nếu offline trong một cuộc tấn công hoặc một máy tính xách tay bị thất lạc), Sophos Data Lake cũng cho phép tương quan sự kiện trên quy mô rộng hơn nhiều. Ví dụ: bạn có thể nhanh chóng xác định rằng một tài khoản đáng ngờ được đăng nhập trên nhiều thiết bị.
Sau đó, khi bạn đã xác định được khu vực cần kiểm tra, bạn có thể truy vấn thiết bị bằng Live Discover và nhận dữ liệu trực tiếp và truy cập từ xa vào thiết bị thông qua Live Response để thực hiện hành động thích hợp.
Bạn nhận được 7 ngày lưu giữ trong hồ dữ liệu theo tiêu chuẩn (30 ngày với Sophos XDR), bổ sung tối đa 90 ngày dữ liệu hiện có được lưu trữ trực tiếp trên các thiết bị.
Xin lưu ý rằng bạn cần kích hoạt Sophos Data Lake. Trong bảng điều khiển Sophos Central, hãy chọn ‘Global Settings‘, sau đó trong Endpoint or Server Protection (hoặc cả hai), chọn cài đặt “Data Lake uploads” và turn on “Upload to the Data Lake“.
Sophos Data Lake hiện hỗ trợ cho các thiết bị Windows và Linux. Thiết bị MacOS sẽ được hỗ trợ vào cuối năm nay.
Scheduled queries
Một trong những tính năng được yêu cầu hàng đầu, bản phát hành này sẽ giới thiệu các truy vấn đã lên lịch để bạn có thể chuẩn bị sẵn thông tin quan trọng mà bạn muốn. Các truy vấn có thể được lên lịch chạy qua đêm để dữ liệu quan trọng sẵn sàng để đánh giá vào ngày hôm sau.
Để thiết lập một truy vấn đã lên lịch, trước tiên, bạn cần chọn một truy vấn bằng cách chuyển đến ‘Threat Analysis Center’ và sau đó là ‘Live Discover’. Khi bạn đã chọn truy vấn bạn muốn chạy, bạn sẽ thấy một tùy chọn mới để lập lịch truy vấn thay vì chạy nó ngay lập tức.
Khi truy vấn đã được lập lịch thành công, nó sẽ xuất hiện trong danh sách ‘Scheduled Queries’ của bạn.
Các truy vấn đã lên lịch hiện có sẵn cho các truy vấn của Sophos Data Lake. Các thiết bị Windows và Linux có thể sử dụng các truy vấn đã lên lịch ngay bây giờ và Mac là vào cuối năm nay. Các truy vấn đã lên lịch cho các truy vấn on-disk sẽ được hỗ trợ vào cuối năm nay.
Nâng cao khả năng sử dụng
Làm việc nhanh và hiệu quả hơn với các cải tiến cho quy trình làm việc. Bạn sẽ nhận được thông tin quan trọng nhanh hơn và có thể thực hiện các hành động và phản hồi nhanh hơn nữa.
Sophos XDR
Sophos cũng đang phát hành Sophos XDR (Extended Detection and Response). Sophos XDR vượt ra ngoài các thiết bị endpoints và servers, lấy dữ liệu Sophos Firewall và Sophos Email với nhiều sản phẩm hỗ trợ XDR sắp ra mắt.