Единый программный компонент, который устанавливается на защищаемые устройства (компьютеры, ноутбуки, серверы, виртуальные рабочие места), позволяет обеспечить непрерывный мониторинг и анализ системных событий, выявлять атаки на ранних этапах их развития, упрощает проведение поиска уязвимостей
https://www.ptsecurity.com/ru-ru/products/edr/MaxPatrol EDR
https://www.ptsecurity.com/ru-ru/products/mp-vm/MaxPatrol VM
https://www.ptsecurity.com/ru-ru/products/mpsiem/MaxPatrol SIEM
Агент для конечных устройств
Технология, которая обеспечивает непрерывный мониторинг и анализ системных событий, на конечных устройствах – ноутбуках сотрудников, компьютерах и серверах организации, виртуализированных рабочих местах.
01
Обзор
Основные возможности агентов
02
Зачем использовать агенты на хостах?
Конечные устройства организации или сотрудников — популярный вектор атаки
Это точка входа, где с использованием фишинга, уязвимостей приложений и операционной системы можно начать развитие атаки. Обнаружить такие события на начальных этапах — до распространения по сети и совершения недопустимых событий крайне важно для обеспечения киберустойчивости организаций.
Распространение шифровальщиков, инфостилеров, вайперов, ВПО для удаленного управления
Инструменты, которые используют злоумышленники становится сложнее и проектируют так, чтобы обходить традиционные хостовые средства защиты (классов АВЗ и СОВ). Статические методы, например, сигнатурный анализ файлов уже не дают нужного качества обнаружения вредоносного ПО. Злоумышленники используют легитимные инструменты типа powershell/bash чтобы скрыть свои следы, закрепиться в сети и найти путь к реализации задуманного.
Специалисты ИБ и ИТ вынуждены использовать разрозненные инструменты
Это WinEventLog collector для одних систем, AuditD — для других, где-то нужно выделить дополнительные учетные записи для сбора данных. Это требует времени и экспертизы для настройки, поддержки, доставки в системы мониторинга и анализа.
Часть устройств находится вне сети или домена, вне зоны видимости средств защиты
Устройства удаленных сотрудников, тех кто в командировке, вне зоны администрирования ИТ службы не передают данные в SIEM, не попадают в зону сканера уязвимостей.
03
Агент для конечных устройств от Positive Technologies
Больше, чем сенсор
Агенты не просто собирают данные телеметрии, а делают это автономно. Они используют функциональные модули, которые работают непосредственно на устройствах. В результате агенты могут проводить статический/поведенческий анализ и реагировать на угрозы без доступа к управляющему серверу, внутренней сети или интернету. Такая архитектура позволяет обезопасить устройства удаленных сотрудников, находящиеся вне домена и не попадающие в поле зрения периметровых средств защиты.
Гибкая настройка
Перечень и описание конфигураций модулей содержатся в политике для устройства или группы устройств. Вы можете добавлять/удалять модули из политики, а также включать/отключать их, управляя возможностями:
- проводить только мониторинг событий, когда нельзя применять реагирование (например, в критически важных системах или на устройствах топ-менеджеров)
- снизить нагрузку на устройства со слабыми аппаратными возможностями
- Благодаря такой структуре, новые пакеты модулей поставляются в агенты независимо — без необходимости обновления продукта.
Благодаря такой структуре, новые пакеты модулей поставляются в агенты независимо — без необходимости обновления продукта.
Поддержка широкого списка ОС
Агент совместим с операционными системами Windows, Linux и macOS. Можно скачать дистрибутив в интерфейсе сервера управления или осуществить централизованную установку с помощью таких инструментов как System Center Configuration Manager для ОС Windows, Ansible, Puppet, Salt, Chef, Terraform для ОС семейства Linux и Jamf — для macOS.
Модули доставки и установки
Устанавливают и настраивают приложения и управляют конфигурацией средств мониторинга, таких как Sysmon и auditd.
Модули сбора
Собирают данные о событиях на конечном устройстве, в том числе на уровне ядра ОС, передают их в модули обнаружения и в MaxPatrol SIEM.
Модули обнаружения
Анализируют собранные события, обнаруживают подозрительную и вредоносную активность на конечном устройстве, регистрируют события ИБ. Используют мощный корреляционный движок и YARA-сканер для проведения статического и динамического анализа. Также позволяют отправлять файлы на проверку в PT Sandbox — результаты проверки сохраняются в локальные БД всех агентов с данной политикой.
Модули реагирования
Пресекают подозрительную и вредоносную активность на конечном устройстве, выполняя с файлами, процессами или сетевым окружением конечного устройства действия, например:
- удаление и карантин файлов
- завершение процессов
- сетевая изоляция узлов (полное отключение сетевых адаптеров или частичное сохранение связи с сервером агентов и адресами из списка исключений)
- блокировка по IP-адресу
- перенаправление DNS-запросов (синкхолинг)
- удаленное выполнение команд и операций с файлами
04
Агент в продуктах Positive Technologies
05
Узнай больше в наших статьях
Монстр из-под кровати, или как мы стали жертвой целевой атаки
Positive Research
Монстр из-под кровати, или как мы стали жертвой целевой атаки
Как найти баланс между прикладными задачами SOC и ожиданиями рынка
Positive Research
Как найти баланс между прикладными задачами SOC и ожиданиями рынка
Найти и уничтожить: как расширение контекста помогает вовремя остановить атаку
Positive Research
Найти и уничтожить: как расширение контекста помогает вовремя остановить атаку
Еще больше информации — у наших экспертов
Оставьте контакты, и мы расскажем, как наши решения повысят защищенность вашей компании, поможем с выбором продукта и ответим на любые вопросы.
Указав ИНН организации, вы сможете быстрее получить детальную информацию.