Подписаться
Читать в телеграм
Агент Trend Micro Endpoint Sensor – это относительно небольшая программа, которая контролирует происходящее в системе и решает следующие задачи: записывает в локальную базу данных системные операции, принимает решение о блокировке определенных процессов, если их поведение совпадет с одним из шаблонов, которые агент регулярно загружает с сервера управления, а также отправляет подозрительные файлы на анализ в «песочницы». Развертывание такого решения в сети позволяет, с одной стороны, проводить расследования инцидентов, а с другой – блокировать целевые атаки.
Инструментарий для проведения расследования
Использование Trend Micro Endpoint Sensor на конечных точках существенно расширяет возможности по расследованию инцидентов, ведь решение обеспечивает специалиста по безопасности детальными данными о том, какая программа, какую активность проявляла, с какими узлами связывалась и т.д. При этом панель управления позволяет получать сквозные данные по всем узлам в сети, что трудно недооценить, даже если в сети всего несколько десятков конечных точек, которые требуют пристального внимания. С одной стороны, Trend Micro Endpoint Sensor получает большое количество информации об угрозах от других компонентов, а с другой – способен сам передавать подозрительные данные на анализ или выявлять угрозы.
Совместимость с другими компонентами
Но расследование – это только один аспект работы с Endpoint Sensor. Интеграция с продуктами Trend Micro семейства Deep Discovery позволяет в автоматическом режиме находить файлы, только что выявленные «песочницами» как представляющие опасность. Иными словами, сделать автоматической и предельно оперативной реакцию на целевые атаки, причем каждая из них требовала бы от специалистов кропотливого труда и большего числа ручных рутинных операций для предотвращения последствий проникновения.
Совместимость с антивирусами
Хочется отметить, что Endpoint Sensor разрабатывается «прозрачным» для существующих антивирусных продуктов и не заменяет их, а дополняет этот традиционный продукт возможностями, которые для него недоступны.
Установка и архитектура
Если кратко, у Trend Micro Endpoint Sensor требования немного ниже, чем у антивируса по всем параметрам, кроме дискового пространства. Для максимальной производительности и минимальной загрузки сети, этот продукт требует до 4 Гб пространства на локальном носителе.
Для управления агентами и проведения расследований предлагается специальная серверная компонента с веб-интерфейсом.
Операционные системы
Поддерживается операционная система Windows от XP до 10-й версии.
Обучение агента
Агент обучается не сам, он получает информацию о новых опасностях из глобальных баз угроз и, что более важно, из внутренней системы предотвращение целевых атак Trend Micro Deep Security. Таким образом, обучается не сам агент, а вся сеть заказчика получает функцию выработки иммунитета к новым и неизвестным угрозам.
Блокирование активностей вредоносов
Продукт допускает блокировку процессов, если им соответствуют программы, которые «песочница» определила, как опасные.
Анализ файлов с флеш-носителей
Запуск приложений с флешки блокируется превентивно в Trend Micro OfficeScan, ведь в отличие от антивирусной проверки глубокий анализ в песочнице занимает недопустимо больше времени.
Карантин скомпрометированной станции
Опыт внедрения таких технологий, как NAC (Network Access Control), показал, что заказчики крайне неохотно идут на помещение конечных узлов в карантин в автоматическом режиме. Причина понятна: потенциально опасные операции происходят на конечных узлах довольно часто, и блокировка несет прямую угрозу работе предприятия.
На самом деле проблема еще глубже. Современные целевые угрозы не являются локальными для рабочей станции, а даже скомпрометированная рабочая станция не обязательно является угрозой для соседних узлов. Это позволяет решить гораздо более важную задачу – предотвратить возможные последствия.
Инструментарий для проведения расследования
Продукт предлагает гибкую систему проведения расследований, причем не только в рамках одной рабочей станции, но и всей сети, благодаря возможности получения среза информации по каждому приложению, IP-адресу или еще какому-то параметру. На первом этапе расследование проводят вручную, но по мере роста доверия к продукту, администратор может включить автоматическую реакцию на соответствие индикаторам компрометации (опасные файлы, процессы и т.п.).
Устранение последствий заражения
За удаление последствий заражения отвечает специальная подсистема Damage Cleanup Services, которая является составной частью Trend Micro OfficeScan. Совместное использование Trend Micro Endpoint Sensor и Trend Micro OfficeScan обеспечит как выявление целевых атак, так и удаление последствий.
