- Giải pháp giám sát an ninh hệ thống Endpoint Detection Response (EDR) là giải pháp đảm bảo an ninh chuyên sâu, kết hợp các hoạt động theo dõi, phân tích, điều tra những nguy cơ về bảo mật trong hệ thống mạng máy tính, đồng thời cho phép ứng phó nhanh chóng, hiệu quả với các mối đe dọa được phát hiện trên các máy tính trong hệ thống.
- EDR theo dõi thường xuyên, đầy đủ các hoạt động liên quan tới an ninh thông tin trên toàn hệ thống. Khi phát hiện các hành vi bất thường sẽ tự động gửi cảnh báo về server quản lý tập trung..
- EDR cung cấp giao diện quản trị tiện lợi để quản lý, theo dõi các cảnh báo về an ninh trong hệ thống, đồng thời có thể đặt các lệnh để thu thập thêm thông tin, tìm kiếm các thành phần tấn công trên toàn hệ thống. Kết quả tìm kiếm bao gồm các mẫu file, các log hoạt động của máy tính… sẽ được cập nhật theo thời gian thực, giúp phát hiện sớm và chính xác các mối đe dọa về an ninh thông tin.
Giải pháp EDR hỗ trợ việc thiết lập các quy tắc và mệnh lệnh để ứng phó với các nguy cơ trong hệ thống một cách nhanh chóng, hiệu quả. Các thiết lập có thể thực hiện bao gồm: Chặn các mẫu virus, cách ly hoặc ngăn chặn các thao tác từ máy tính bị tấn công.
Mô hình triển khai
Hệ thống hoạt động theo mô hình quản lý tập trung Server – Client. Hai thành phần cơ bản là EDR Server và EDR Agent
- EDR Server là máy chủ của hệ thống Bkav EDR, nơi lưu trữ, tổng hợp các thông tin hoạt động của hệ thống, đồng thời cung cấp giao diện người dùng để thực hiện các hoạt động điều tra, săn tìm, ứng phó các mối đe dọa.
- EDR Agent là một phần mềm được cài đặt trên các điểm cuối (các máy tính) trong mạng, thực hiện các nhiệm vụ: thu thập thông tin về các hành vi bất thường trên điểm cuối và gửi dữ liệu về EDR Server; tiếp nhận các yêu cầu, mệnh lệnh từ EDR Server và thực hiện các yêu cầu, mệnh lệnh đó để phục vụ điều tra, săn tìm, ứng phó các mối đe dọa.
Tính năng
Thu thập dữ liệu nghi ngờ
- Cho phép thu thập dữ liệu các thành phần khởi động cùng máy
- Cho phép thu thập dữ liệu các tiến trình đang chạy trên máy
- Cho phép thu thập dữ liệu lịch sử kết nối vào/ra của máy
- Cho phép thu thập dữ liệu lịch sử khởi tạo, kết thúc các tiến trình
- Cho phép thu thập dữ liệu lịch sử tác động vào các registry nhạy cảm của hệ thống
- Cho phép thu thập dữ liệu lịch sử đăng nhập, đăng xuất máy tính
- Cho phép thu thập dữ liệu về sự thay đổi quyền hạn của các tiến trình
- Cho phép thu thập dữ liệu về sự thay đổi cấu hình bảo mật điểm cuối
- Cho phép thu thập dữ liệu về thông số điểm cuối
- Cho phép thu thập dữ liệu về việc vi phạm các chính sách bảo mật trên điểm cuối
Phát hiện mối nguy
- Cho phép phát hiện tấn công SMB (khai thác lỗ hổng trong cơ chế chia sẻ thư mục của hệ điều hành)
- Cho phép phát hiện tấn công mã độc Fileless (các mã độc hoạt động mà không cần tớ sự tồn tại của file nhị phân)
- Cho phép phát hiện tấn công APT Dll-SideLoading (tấn công có chủ đích)
- Cho phép phát hiện kết nối tới mạng Botnet
- Cho phép phát hiện lây nhiễm qua USB
- Cho phép phát hiện mã hóa dữ liệu
- Cho phép phát hiện phần mềm gián điệp
Phát hiện các hành vi bất thường
- Cho phép phát hiện tấn công brute-force mật khẩu
- Cho phép phát hiện tấn công đánh cắp dữ liệu
- Cho phép phát hiện kết nối tới server C&C
- Cho phép phát hiện chèn mã thực thi vào tiến trình khác
- Cho phép phát hiện các tiến trình thực thi được tải về từ Internet
- Cho phép phát hiện hành vi bất thường theo các quy tắc kết hợp học máy, dựa trên các dữ liệu về hoạt động của máy tính được thu thập
Điều tra và săn tìm các mối đe dọa
- Cho phép tìm kiếm các thông tin của phần Thu thập dữ liệu nghi ngờ (kể cả khi điểm cuối đã ngắt kết nối khỏi mạng trong vòng 6 tháng)
- Cho phép tìm kiếm file trên các điểm cuối
- Cho phép tìm kiếm thông tin trên bộ nhớ các điểm cuối
- Cho phép tìm kiếm mẫu theo yara
- Cho phép chụp ảnh bộ nhớ của điểm cuối phục vụ điều tra số (forensic)
Ứng phó các mối đe dọa
- Cho phép cách ly máy tính bị tấn công
- Cho phép chặn thao tác trên máy tính bị tấn công
- Cho phép chặn tiến trình mã độc
- Cho phép thực thi lệnh trên endpoint thông qua ra lệnh từ server EDR
- Cho phép xử lý các registry
- Cho phép ngăn tiến trình đang chạy thực hiện kết nối mạng
- Cho phép thay đổi trạng thái của điểm cuối (như tắt, khởi động lại hoặc chuyển sang chế độ ngủ)
Quản trị hệ thống
- Quản lý tài khoản quản trị phân cấp: Cho phép thiết lập các tài khoản quản trị với các mức độ quyền hạn khác nhau.
- Cho phép quản lý các điểm cuối theo nhóm, có thể đưa các điểm cuối vào nhóm phù hợp với cơ cấu tổ chức.
- Hỗ trợ Dashboard thông minh: Cập nhật thông tin theo thời gian thực; Hiển thị sơ đồ mạng, các dải mạng đang có cảnh báo, số lượng máy điểm cuối đang cần xử lý; Hiển thị tình trạng tổng quan về các mối đe dọa, các cảnh báo.
- Cho phép nhập thông tin xử lý các cảnh báo tại điểm cuối: Sau khi xử lý xong các cảnh báo trên máy, quản trị viên có thể nhập kết quả xử lý cảnh báo.
- Cho phép đặt lệnh điều tra, thu thập thông tin nghi ngờ: Thu thập trên một điểm cuối hoặc toàn hệ thống; Thu thập một phần hoặc toàn bộ các loại thông tin nghi ngờ
- Cho phép đặt lệnh tìm kiếm, săn lùng các mối đe dọa: Tìm kiếm trên một điểm cuối hoặc toàn bộ hệ thống; Tìm kiếm theo MD5/SHA hoặc theo dữ liệu yara
- Cho phép đặt lệnh ứng phó các mối đe dọa: Cách ly điểm cuối; Chặn thao tác điểm cuối; Chặn tiến trình thực thi; Chặn tiến trình kết nối mạng; Đặt lệnh thực thi, sửa registry trên điểm cuối; Đặt lệnh thay đổi trạng thái điểm cuối
Cảnh báo thông minh
- Cho phép gửi tin nhắn SMS, email khi hệ thống có các cảnh báo nguy hiểm.
- Cho phép cấu hình việc gửi cảnh báo: Cấu hình cách thức gửi cảnh báo; Cấu hình các địa chỉ nhận cảnh báo theo nhiều cấp; Cấu hình thời gian lặp lại cảnh báo nếu các mối đe dọa chưa được xử lý.