https://www.ptsecurity.com/ru-ru/products/edr/MaxPatrol EDR

https://www.ptsecurity.com/ru-ru/products/mp-vm/MaxPatrol VM

https://www.ptsecurity.com/ru-ru/products/mpsiem/MaxPatrol SIEM

https://www.ptsecurity.com/ru-ru/products/sandbox/PT Sandbox

Агент для конечных устройств

Технология, которая обеспечивает непрерывный мониторинг и анализ системных событий, на конечных устройствах – ноутбуках сотрудников, компьютерах и серверах организации, виртуализированных рабочих местах.

Обзор Какие задачи решает Преимущества Где используется

Обзор

Единый программный компонент, который устанавливается на защищаемые устройства (компьютеры, ноутбуки, серверы, виртуальные рабочие места), позволяет обеспечить непрерывный мониторинг и анализ системных событий, выявлять атаки на ранних этапах их развития, упрощает проведение поиска уязвимостей

Основные возможности агентов

Сбор системных событий

Агент выполняет локальный сбор данных о событиях на конечном устройстве и передает их в модули обнаружения. При отправке событий в SIEM-систему агент нормализует их для снижения нагрузки.

Выявление сложных атак на ранних этапах

Агент проводит статический и поведенческий анализ угроз, использует экспертный набор правил корреляции и YARA-правил.

Остановка вредоносных действий на узлах

Агент предоставляет богатый выбор действий, как для преднастроенного, так и интерактивного взаимодействия с конечным устройством.

Автономная работа

Агент может проводить анализ и выполнять автоматическое реагирование без доступа в интернет или обращения к серверу управления, что актуально для поддержки удаленных устройств и узлов с непостоянным доступом к сети.

Поддержка широкого списка ОС

Агент поддерживает широкий список отечественных ОС и наиболее популярные зарубежные системы (Windows, Linux и macOS). Возможна работа в VDI.

Локальный аудит устройств для обнаружения уязвимостей и инвентаризации

Единый агент собирает телеметрию, конфигурационную и инвентаризационную информацию, не требуя предоставления привилегированных учетных записей со стороны IT-подразделения. После чего передает их на обработку в MaxPatrol VM для обнаружения уязвимостей. Если MaxPatrol VM не используется, агент все равно позволяет создать активы в системе.

Зачем использовать агенты на хостах?

Конечные устройства организации или сотрудников — популярный вектор атаки

Это точка входа, где с использованием фишинга, уязвимостей приложений и операционной системы можно начать развитие атаки. Обнаружить такие события на начальных этапах — до распространения по сети и совершения недопустимых событий крайне важно для обеспечения киберустойчивости организаций.

Распространение шифровальщиков, инфостилеров, вайперов, ВПО для удаленного управления

Инструменты, которые используют злоумышленники становится сложнее и проектируют так, чтобы обходить традиционные хостовые средства защиты (классов АВЗ и СОВ). Статические методы, например, сигнатурный анализ файлов уже не дают нужного качества обнаружения вредоносного ПО. Злоумышленники используют легитимные инструменты типа powershell/bash чтобы скрыть свои следы, закрепиться в сети и найти путь к реализации задуманного.

Специалисты ИБ и ИТ вынуждены использовать разрозненные инструменты

Это WinEventLog collector для одних систем, AuditD — для других, где-то нужно выделить дополнительные учетные записи для сбора данных. Это требует времени и экспертизы для настройки, поддержки, доставки в системы мониторинга и анализа.

Часть устройств находится вне сети или домена, вне зоны видимости средств защиты

Устройства удаленных сотрудников, тех кто в командировке, вне зоны администрирования ИТ службы не передают данные в SIEM, не попадают в зону сканера уязвимостей.

Агент для конечных устройств от Positive Technologies

Больше, чем сенсор

Агенты не просто собирают данные телеметрии, а делают это автономно. Они используют функциональные модули, которые работают непосредственно на устройствах. В результате агенты могут проводить статический/поведенческий анализ и реагировать на угрозы без доступа к управляющему серверу, внутренней сети или интернету. Такая архитектура позволяет обезопасить устройства удаленных сотрудников, находящиеся вне домена и не попадающие в поле зрения периметровых средств защиты.

Гибкая настройка

Перечень и описание конфигураций модулей содержатся в политике для устройства или группы устройств. Вы можете добавлять/удалять модули из политики, а также включать/отключать их, управляя возможностями:

проводить только мониторинг событий, когда нельзя применять реагирование (например, в критически важных системах или на устройствах топ-менеджеров)
снизить нагрузку на устройства со слабыми аппаратными возможностями
Благодаря такой структуре, новые пакеты модулей поставляются в агенты независимо — без необходимости обновления продукта.

Благодаря такой структуре, новые пакеты модулей поставляются в агенты независимо — без необходимости обновления продукта.

Поддержка широкого списка ОС

Агент совместим с операционными системами Windows, Linux и macOS. Можно скачать дистрибутив в интерфейсе сервера управления или осуществить централизованную установку с помощью таких инструментов как System Center Configuration Manager для ОС Windows, Ansible, Puppet, Salt, Chef, Terraform для ОС семейства Linux и Jamf — для macOS.

Модули доставки и установки

Устанавливают и настраивают приложения и управляют конфигурацией средств мониторинга, таких как Sysmon и auditd.

Модули сбора

Собирают данные о событиях на конечном устройстве, в том числе на уровне ядра ОС, передают их в модули обнаружения и в MaxPatrol SIEM.

Модули обнаружения

Анализируют собранные события, обнаруживают подозрительную и вредоносную активность на конечном устройстве, регистрируют события ИБ. Используют мощный корреляционный движок и YARA-сканер для проведения статического и динамического анализа. Также позволяют отправлять файлы на проверку в PT Sandbox — результаты проверки сохраняются в локальные БД всех агентов с данной политикой.

Модули реагирования

Пресекают подозрительную и вредоносную активность на конечном устройстве, выполняя с файлами, процессами или сетевым окружением конечного устройства действия, например:

удаление и карантин файлов
завершение процессов
сетевая изоляция узлов (полное отключение сетевых адаптеров или частичное сохранение связи с сервером агентов и адресами из списка исключений)
блокировка по IP-адресу
перенаправление DNS-запросов (синкхолинг)
удаленное выполнение команд и операций с файлами

Агент в продуктах Positive Technologies

MaxPatrol EDR

Защита устройств организации от сложных и целевых атак. MaxPatrol EDR осуществляет:

Централизованное управление агентами.
Настройку политик мониторинга и реагирования обработку событий в веб консоли.
Обнаружение угроз в динамике, определение техник и тактик злоумышленников.
Реагирование на устройствах в автоматическом или ручном режиме

MaxPatrol VM

Управление уязвимостями на полную

Модули сканирования агентов собирают данные с узлов вне домена и устройств удаленных сотрудников.
Узловое сканирование происходит параллельно на всех активах в группе, что снижает нагрузку на сканирующий сервер и каналы связи.
Упрощение диалога между подразделениями ИБ и ИТ — не требуются учетные записи с повышенными привилегиями, не нужно тратить время на маршрутизацию.

MaxPatrol SIEM

Расширение зоны мониторинга и мгновенное реагирование

Настройка мониторинга централизованно для всех групп устройств, в том числе для тех, которые работают вне домена.
Поведенческий и статический анализ выполняются прямо на устройствах, с помощью корреляционного и YARA-движков агентов MaxPatrol EDR.
Широкий набор действий для своевременного реагирования. События, контекст и возможность реагирования прямо из карточки события.
Агент самостоятельно выполняет корреляцию событий, нормализует и фильтрует их перед отправкой, что снижает нагрузку на SIEM-систему.
При достижении договоренностей, подразделение ИБ может управлять данными и реагировать на угрозы без привлечения ИТ. Договоренности можно отразить в настройках политик, которые определят функциональность каждой группы агентов.

PT Sandbox

Проактивное обнаружение неизвестных угроз

Защита от ВПО, распространяемого через шифрованные каналы (Telegram, браузеры, P2P).
Агенты обнаруживают скачиваемые файлы и передают их в PT Sandbox для проведения подробного статического и поведенческого анализа.
Результат анализа доступен на всех агентах, что позволяет превентивно блокировать атаки.

Узнай больше в наших статьях

Монстр из-под кровати, или как мы стали жертвой целевой атаки

31 мая 2024

Positive Research

Монстр из-под кровати, или как мы стали жертвой целевой атаки

Как найти баланс между прикладными задачами SOC и ожиданиями рынка

Positive Research

Как найти баланс между прикладными задачами SOC и ожиданиями рынка

Найти и уничтожить: как расширение контекста помогает вовремя остановить атаку

Positive Research

Найти и уничтожить: как расширение контекста помогает вовремя остановить атаку

Еще больше информации — у наших экспертов

Оставьте контакты, и мы расскажем, как наши решения повысят защищенность вашей компании, поможем с выбором продукта и ответим на любые вопросы.

Указав ИНН организации, вы сможете быстрее получить детальную информацию.

Пилот продукта

Заполнить заявку на знакомство с продуктами

Консультация

Узнать больше о нас и нашей работе

Будь в курсе!

Подписаться на наш новостной дайджест

Для российских компаний

Для зарубежных компаний

Выберите продукт

Компания/ИНН/Юридический адрес

Почта

+7 (555) 555-55-55

Я даю АО «Позитив Текнолоджиз» согласие на обработку моих персональных данных для цели ответа на мою заявку.

Я даю согласие на получение рекламных и иных маркетинговых сообщений от АО «Позитив Текнолоджиз» и обработку моих персональных данных для указанной цели.