Netia Managed EDR
Bezpieczeństwo
Kierownik Produktu: Tomasz Łużak
Artykuł w trakcie budowy!
Co to takiego?
Netia Managed EDR (Endpoint Detection and Response) to zaawansowane narzędzie do monitorowania i reagowania na zagrożenia na urządzeniach końcowych (stacjach roboczych i serwerach). Uzupełnia tradycyjne antywirusy, wykrywając nietypowe zachowania i anomalie, których nie obejmują sygnatury. Generuje alerty dla zespołów bezpieczeństwa lub systemów SIEM, umożliwia analizę aktywności (procesów, usług, rejestru), wspiera automatyzację pracy SOC i ułatwia obsługę incydentów.
Obsługa usługi
Usługa nie posiada żadnego integratora.
Klient zgłasza problemy bezpośrednio do nas (COB).
Zarejestrowane zgłoszenia oraz zlecenia obsługiwane są bezpośrednio przez zespół Piotra Moroza (SOC).
Funkcje EDR
- Efektywne zapobieganie incydentom - bazując na gotowych zestawach reguł lub sztucznej inteligencji wykrywa i powstrzymuje ataki, zanim dojdzie do wyrządzenia szkód,
- Automatyczne wykrywanie zagrożeń - podejrzane aktywności w systemie użytkownika są natychmiast identyfikowane i blokowanie złośliwej aktywności,
- Detekcja ukrytych zagrożeń - poprzez analizę informacji spływających z endpointów,
- Automatyczna reakcja na zdarzenia - EDR reaguje w czasie rzeczywistym, dzięki temu zapobiega eskalacji zagrożenia w sieci, a ponadto informuje administratora o zaistniałych incydentach,
- Gromadzenie informacji (także z urządzeń końcowych) koniecznych do dalszej analizy - to pozwala zrozumieć przebieg i przyczynę zagrożenia, a przeprowadzenie wnikliwego śledztwa umożliwia przygotowanie się do podobnych incydentów w przyszłości.
- Ocena ryzyka i różne poziomy alarmowania,
- Threat hunting,
- Integracja z innymi systemami bezpieczeństwa teleinformatycznego.
Zasada działania EDR
W skład systemu EDR zazwyczaj wchodzą: agenci zainstalowani na urządzeniach końcowych, centralny serwer zarządzający agentami oraz przetwarzający dużą ilość informacji, baza danych oraz konsola dla operatorów. Agenci monitorują na systemach lokalnych setki zdarzeń powiązanych z podejrzaną aktywnością i mogących świadczyć o zagrożeniu. Są to na przykład:
- tworzenie procesów
- ładowanie diverów i bibliotek
- modyfikacja rejestru
- dostęp do dysku
- połączenia sieciowe
Taki monitoring jest już dużą wartością dla pracowników działu bezpieczeństwa i daje możliwość obserwowania zdarzeń typu:
- połączenia sieciowe z hostami wewnętrznymi oraz zewnętrznymi,
- zdalne oraz bezpośrednie logowania użytkowników,
- uruchamianie narzędzi administracyjnych oraz plików .exe,
- wykonywanie procesów,
- podsumowanie oraz szczegóły połączeń sieciowych (DNS, LDAP, WinRM, SMB itp.),
- tworzenie plików z określonymi rozszerzeniami,
- korzystanie z zewnętrznych nośników danych.
System EDR daje również możliwość dodatkowego zbierania informacji z urządzeń końcowych. Wywołując zapytanie, w czasie rzeczywistym możemy otrzymać następujące dane:
- listę uruchomionych procesów,
- wpisy z Windows Event Log,
- wpisy z rejestru,
- przeglądać file system,
- pobrać memory dump z konkretnego procesu,
- wyliczyć i porównać hash pliku,
- oraz dużo więcej za pomocą zapytań Powershell oraz innych wbudowanych narzędzi.
Gdy zagrożenie zostanie zdiagnozowane operatorzy mają do wyboru szeroki zestaw akcji typu „response”, które pozwalają na zatrzymanie lub załagodzenie złośliwego działania. Akcje takie to na przykład:
- usunięcie pliku,
- zabicie procesu,
- usunięcie lub modyfikacja klucza rejestru,
- uruchomienie skryptu/komendy,
- zaszyfrowanie/zabezpieczenie pliku lub zasobu,
- restart systemu,
- wyłączenie interfejsów sieciowych.
Model świadczenia
Dopuszczamy zasadnicze modele świadczenia usługi:
1. odsprzedaż licencji klientowi na dany czas (zazwyczaj 12,24, 36 mies,) – klient staje się właścicielem licencji; opłata jednorazowa
2. udostępnienie licencji klientowi na czas trwania umowy – model Managed Security Provider (MSP – właścicielem licencji pozostaje Netia; te same licencje moża przypisywać do różnych klientów (tzw. worek licencyjny) – w tym przypadku Netia otrzymuje dostęp do web portalu, w którym może dynamicznie zarządzać licencjami.
Usługa świadczona jest przy wykorzystaniu jednej z 3 dostępnych technologii (rozwiązań):
- ESET - Protect Enterprise
- Cortex XDR Pro
- Trend Micro – Vision One Endpoint Security (Essentials)
Sposoby realizacji poszczególnych funkcji Ochrony, a także ich zakres, różnią są w zależności od wybranej technologii, na której świadczona jest Usługa, zgodnie z poniższą tabelą.
| Funkcja Ochrony / Technologia | ESET Protect Enterprise | Trend Micro Vision One | Cortex XDR |
|---|---|---|---|
| Wykrywanie zagrożeń | |||
| Heurystyczna analiza zagrożeń | TAK | TAK | TAK |
| Analiza sandboxowa | TAK | TAK | TAK |
| Wykrywanie złośliwych skryptów | TAK | TAK | TAK |
| Detekcja behawioralna | TAK | TAK | TAK |
| Dynamiczna ochrona jądra | TAK | NIE | TAK |
| Exploit blocker | TAK | NIE | TAK |
| Zaawansowany skaner pamięci | NIE | TAK | TAK |
| Ochrona przed ransomware | TAK | TAK | TAK |
| Ochrona antyphishingowa | NIE | TAK | TAK |
| Kontrola urządzeń | |||
| Zarządzanie urządzeniami USB | TAK | TAK | TAK |
| Zarządzanie Bluetooth i CD-ROM | NIE | TAK | TAK |
| Ochrona urządzeń mobilnych | TAK | TAK | TAK |
| Raportowanie i zarządzanie | |||
| Centralna konsola zarządzania | TAK | TAK | TAK |
| Integracja z SIEM | Ograniczona | TAK | TAK |
| Raportowanie w czasie rzeczywistym | TAK | TAK | TAK |
| Ochrona sieciowa | |||
| Analiza ruchu sieciowego | TAK | TAK | TAK |
| Blokowanie prób eksfiltracji danych | TAK | TAK | TAK |
| Detekcja botnetów i DDoS | NIE | TAK | TAK |
Warianty usługi
| Parametry/Warianty | Wariant Standard (brak tej opcji w ESETcie) | Wariant Advanced | Wariant Custom |
|---|---|---|---|
| Minimalny okres obowiązywania Umowy | 12 miesięcy | 12 miesięcy | 12 miesięcy |
| Instalacja Agentów Systemu na Punktach Końcowych | Opcja dodatkowo płatna | Opcja dodatkowo płatna | Opcja dodatkowo płatna |
| Wykrywanie zagrożenia | TAK | TAK | TAK |
| Automatyczna reakcja na zagrożenie | NIE | TAK zgodnie z działaniami opisanymi w pkt. 1.10.; wyłącznie dla Alertów na poziomie HIGH i CRITICAL | Indywidualne ustalenia z Klientem |
| Gwarancja jakości świadczeniu usługi (SLA) | TAK | TAK | TAK |
| Dostarczenie i konfiguracja administracyjna Systemu | TAK | TAK | TAK |
| Dostęp do podglądu zdarzeń w czasie rzeczywistym | TAK | TAK | TAK |
| Zarządzanie Usługą przez konsolę zarządzania w chmurze | TAK | TAK | TAK |
| Konfiguracja Reguł i zasad bezpieczeństwa | standardowa, zdefiniowana lista Reguł | standardowa, zdefiniowana lista Reguł | lista Reguł ustalana indywidualnie z Klientem |
| Ochrona Punktów końcowych (monitorowanie bezpieczeństwa, wykrywanie Zagrożeń, reagowanie na Incydenty) | TAK | TAK | TAK |
| Ochrona Urządzeń sieciowych (monitorowanie bezpieczeństwa, wykrywanie Zagrożeń, reagowanie na Incydenty) | NIE | NIE | Dodatkowo płatne (XDR, zgodnie z indywidualną wyceną) |
| Informowanie o Incydentach w czasie rzeczywistym | TAK (na wskazane adresy e-mail Osób Upoważnionych) | TAK (na wskazane adresy e-mail Osób Upoważnionych) | TAK (sposób informowania ustalany indywidualnie z Klientem) |
| Zarządzanie i utrzymanie usługi (w tym aktualizacje i patche Systemu) | TAK | TAK | TAK |
| Dedykowana infolinia biznesowa 24/7/365 | TAK | TAK | TAK |
| Regularna aktualizacja bazy sygnatur Systemu | TAK | TAK | TAK |
| Retencja logów | TAK, 30 dni | TAK, 30 dni | TAK, długość ustalana indywidualnie z Klientem |
| Realizacja Zgłoszeń rekonfiguracji | Max. 2 zgłoszenia na kwartał | Max. 2 zgłoszenia na miesiac | indywidualne ustalenia z Klientem |
| Raporty cykliczne | max. 1 kwartalnie, generowany automatycznie według predefiniowanych szablonów, wysyłany pocztą elektroniczną | max. 1 na miesiąc, generowany automatycznie według predefiniowanych szablonów, wysyłany pocztą elektroniczną | częstość, zawartość oraz sposób wysyłki ustalany indywidualnie z Klientem |
| Możliwość integracji Systemu z systemem klasy SIEM Klienta | NIE | NIE | Dodatkowo płatne (XDR, zgodnie z indywidualną wyceną) |
| Dostęp do konsoli zarządzania Systemu | wyłącznie w trybie odczytu (read-only) dla max. 2 Użytkowników | wyłącznie w trybie odczytu (read-only) dla max. 2 Użytkowników | Indywidualne ustalenia |