Adversarii își desfășoară acțiunile în moduri ascunse – camuflându-le în cadrul celor mai de încredere componente existente deja în mediul dumneavoastră. Nu instalează mereu ceva tangibil, cum ar fi un program malițios, dar lasă întotdeauna o urmă de comportament. Soluția EDR monitorizează și colectează continuu date pentru a oferi vizibilitate și context necesar detecției și răspunsului la amenințări. Dar abordările actuale încarcă adesea cu prea multe informații echipele de securitate informatică, deja supraîncărcate. McAfee® MVISION EDR ajută la gestionarea volumului ridicat de alerte, dând analiștilor cu niveluri diferite de calificare posibilitatea să investigheze mai eficient.
MVISION EDR reduce timpul mediu de detecție și răspuns la amenințări, permițând tuturor analiștilor să înțeleagă alertele, să investigheze pe deplin și să răspundă rapid. Investigațiile și automatizarea ghidate de inteligența artificială (IA) permit chiar și analiștilor începători să analizeze la un nivel superior, eliberând astfel analiștii seniori în vederea aplicării abilității lor de căutare productivă și iterativă prin rețele, pentru a detecta și izola amenințările avansate care se sustrag soluțiilor de securitate existente și de a accelera timpul de răspuns.
Detectați și răspundeți rapid la amenințările cibernetice ce vizează punctele finale
Fără contextul, analiza și datele potrivite, sistemele EDR fie generează prea multe alerte, fie ratează amenințările emergente, irosind timp și resurse prețioase fără a îmbunătăți securitatea. MVISION EDR oferă colectare permanentă de date și mai multe motoare analitice pe parcursul etapelor de detecție și investigație, pentru a ajuta la identificarea cu precizie a comportamentului suspect, pentru a înțelege alertele și pentru a informa acțiunile.
Obține context și vizibilitate: Informațiile despre evenimentul produs la punctul final sunt transmise în cloud, oferind contextul și vizibilitatea necesare pentru a descoperi amenințările cibernetice ascunse. Informațiile sunt disponibile pentru inspecție imediată și căutare în timp real, pe lângă căutarea istorică. Opțiunile flexibile de păstrare a datelor sprijină nevoile variate ale diverselor echipe de operațiuni de securitate și organizații.
Descoperi mai mult cu analiza din cloud: Motoarele analitice inspectează activitatea punctelor finale pentru a descoperi un spectru larg de comportament suspect și pentru a detecta amenințările – de la programe malițioase bazate pe fișiere până la atacuri fără fișiere – care au scăpat de alte mijloace de apărare cibernetică. Implementarea în cloud permite adoptarea rapidă a noilor motoare și tehnici de analiză.
Gândește ca un atacator: Rezultatele detectării bazate pe comportament corespund cu cadrul MITRE ATT & CK™, susținând un proces mai consistent pentru a determina faza unei amenințări și riscul asociat acesteia și pentru a prioritiza un răspuns.
Navighează cu ușurință: Clasificarea alertelor îi ajută pe analiști să înțeleagă severitatea riscului și să ofere răspunsul adecvat. Afișarea și vizualizarea flexibilă a datelor în această etapă îi ajută pe analiștii cu diferite niveluri de experiență să navigheze cu ușurință prin date, pentru a înțelege rapid de ce a fost declanșată o alertă și pentru a determina următorii pași: respinge, răspunde sau investighează.
Răspunde rapid: Măsurile de răspuns preconfigurate în MVISION EDR permit acțiuni imediate. Utilizatorii pot izola cu ușurință amenințări prin închiderea unui proces, carantinarea unei mașini sau ștergerea de fișiere. Analiștii pot acționa fie izolat, fie global pentru întreaga rețea cu un singur clic.
Investigație ghidată de IA (inteligența artificială)
Dacă răspunsul imediat la o alertă și cauza principală a incidentului nu este evident – și deseori nu este așa – analiștii de securitate trebuie să iasă în afara soluției EDR și să investigheze pentru a înțelege cu adevărat toate fațetele unei amenințări sau campanii complexe cât și riscul asociat. Soluțiile EDR „permit” în mod tradițional investigarea prin furnizarea de date brute, context și funcții de căutare, dar necesită în continuare analiști informați pentru a efectua ancheta și analiza. Analiștii cu experiență nu au adesea timp să valideze și să investigheze numeroase alerte, în timp ce analiștii fără experiență s-ar putea să nu știe de unde să înceapă.
Cu MVISION EDR, analiștii de orice nivel pot face următorul pas și pot investiga. În loc să permită pur și simplu o investigație cu funcționalități de căutare și date, MVISION EDR ghidează investigația.
Ghiduri dinamice de investigație: Construite prin combinarea experienței și expertizei cercetătorilor criminalistici McAfee cu inteligența artificială (IA), ghidurile de investigație multiplică forțat procesul de investigație și explorează multe ipoteze în paralel pentru o viteză și o precizie maxime. Spre deosebire de playbook-urile care automatizează sarcinile programate pentru amenințări cunoscute, ghidurile de investigație se adaptează în mod dinamic la cazul de față, combinând diferite strategii de investigare și date. MVISION EDR pune și răspunde automat la întrebări pentru a dovedi sau respinge ipotezele.
MVISION EDR adună, rezumă și vizualizează automat dovezi din mai multe surse și repeta procesul pe măsură ce investigația evoluează.
Beneficii cheie
• Oferă o detectare a amenințărilor, de înaltă calitate, fără zgomot.
• Analiza rapidă vă permite să construiți o apărare rezistentă.
• Investigațiile ghidate de IA oferă analiștilor informații despre atac.
• Organizațiile pot maximiza impactul asupra personalului existent.
• Este o soluție cloud cu întreținere redusă.
• Simplificați implementările utilizând fie software-ul local McAfee ePO fie MVISON ePO bazat pe SaaS.
• Analiștii se pot concentra pe răspunsul strategic la incidente fără o administrare greoaie.
Colectare amplă de date și relevanța locală: Motorul de investigație alimentat de IA adună și procesează artefacte și secvențe complexe de evenimente, de la punctele finale, sistemele SIEM și de la software-ul McAfee® ePolicy Orchestrator® (McAfee ePOTM) – pentru a înțelege alerte. MVISION EDR compară dovezile atât cu activitatea normală cunoscută a fiecărei organizații cât și cu informațiile existente despre amenințări pentru a îmbunătăți relevanța locală și pentru a reduce rezultatele fals pozitive declanșate în raport cu activitatea normală. Investigațiile pot proveni fie de la alerte MVISION EDR sau SIEM.
Imagini diferite pentru diverși utilizatori: Afișajul flexibil al datelor aplică obiectivul potrivit pentru utilizatorii cu diferite niveluri de experiență, astfel încât toți analiștii să poată înțelege rapid modul în care artefactele și evenimentele sunt conectate fără a pivota pe mai multe ecrane.
Investigație de tip phishing: MVISION EDR se conectează cu ușurință la fluxurile de lucru ale investigațiilor de phishing ale operațiunilor de securitate. E-mail-urile suspecte pot ajunge la MVISION EDR pentru inspecție. Dacă se constată că este rău intenționat, MVISION EDR poate determina rapid ce mașini din cadrul organizației pot fi afectate.
MVISION EDR reduce expertiza și efortul necesar pentru efectuarea investigațiilor și crește viteza cu care analiștii pot determina riscul incidentului și cauza principală. La nivel organizațional, beneficiile se înmulțesc. Fiecare analist poate fi mai eficient, mai multe cazuri pot fi soluționate de către analiștii juniori, și analiștii seniori își pot dedica timp activităților mai importante.
Datele potrivite – la momentul potrivit – pentru misiunea actuală
Pe lângă investigațiile ghidate, analiștii și persoanele care cauta amenințările cibernetice pot utiliza puternicele capacități de căutare și colectare a datelor MVISION EDR pentru a extinde anchetele și pentru a cerceta în profunzime pe sisteme.
Căutare istorică: Datele privind evenimentele de la punctul final sunt colectate permanent și complet de la toate sistemele monitorizate în cloud. Analiștii pot căuta în aceste date centralizate, indiferent de starea online sau offline a fiecărui punct final, pentru a găsi indicatori de compromis (IoC) și indicatori de atac (IoA) care pot fi prezenți împreună cu fișierele șterse.
Căutare în timp real: pentru anchete aflate in lucru privind incidentele, căutarea în timp real ajunge la punctele finale din cadrul organizatiei pentru a solicita rapid informații actualizate. Sintaxa flexibilă permite o serie de capacități, de la interogări simple, cum ar fi căutarea aplicațiilor instalate pe stațiile de lucru, la căutări mai complexe care returnează mai multe date de la stațiile de lucru, cum ar fi identificarea unui utilizator în momentul evenimentului, executarea liniei de comandă și momentul în care a fost pornită aplicația suspectată. Această capacitate poate crește cu ușurință interogările din întreaga întreprindere la zeci de mii de mașini.
Colectarea datelor la cerere: Pentru a sprijini investigațiile, MVISION EDR poate face un instantaneu al unui punct final la cerere, captând o imagine cuprinzătoare a proceselor active, a conexiunilor de rețea, a serviciilor și a intrărilor de executare automată. MVISION EDR furnizează severitatea asociată și informații suplimentare, cum ar fi distribuirea, reputația, și procesul părinte / serviciu / utilizator care a executat un fișier suspect. Activat de un instrument de colectare a datelor non-persistente, instantaneele pot fi capturate atât pe sisteme monitorizate, cât și pe sisteme nemonitorizate.
Colaborarea extinde vizibilitatea, crește eficiența operațională și îmbunătățește rezultatele
MVISION EDR este o componentă cheie a unui ecosistem de securitate integrat. Acesta extinde capacitățile de protecție a punctelor finale și extinde vizibilitatea, sprijinind în același timp fluxurile de lucru și procesele echipei de securitate, pentru a reduce timpul mediu de detectare și reacție și de creștere a eficienței operaționale.
Corelează datele din întreaga întreprindere pentru o vizibilitate completă: Colaborarea și integrarea ușoară cu sursele de date dincolo de punctul final sunt esențiale pentru eliminarea lacunelor de date pentru investigațiile cu multiple fațete privind amenințările. Integrarea strânsă cu soluțiile de securitate și de gestionare a evenimentelor (SIEM), cum ar fi McAfee® Enterprise Security Manager sau produse terțe, permite MVISION EDR să extindă capacitățile de investigare și înțelegerea, prin corelarea artefactelor de la punctele finale cu informațiile de rețea și alte date colectate de SIEM.
Asistență pentru colaborarea echipei și fluxurile de lucru: MVISION EDR se conectează la fluxurile de lucru curente ale operațiunilor de securitate și acceptă colaborarea prin partajarea datelor de investigație și a actualizărilor, prin intermediul platformelor de răspuns la incidentele de securitate.
Implementare scalabilă și simplă: MVISION EDR este disponibil ca aplicație SaaS. Gestionarea cu software-ul McAfee ePO – cea mai importantă platformă centralizată de gestionare a securității din industrie – simplifică implementarea și întreținerea continuă a MVISION EDR și a întregii infrastructuri de securitate. Acum disponibil atât on premises, cât și în cloud, software-ul McAfee ePO oferă flexibilitate de gestionare pentru a se potrivi diverselor nevoi organizaționale.
Pentru informații suplimentare despre MVISION EDR, contactați-ne la itsecurity@provision.ro.
