Nos complace anunciar que hemos lanzado algunas actualizaciones interesantes para todos los clientes que utilizan Sophos EDR (Endpoint Detection and Response) con Intercept X Advanced con EDR e Intercept X Advanced para servidores con EDR.
¿Qué novedades hay?
Presentación de Sophos Data Lake
Sophos Data Lake almacena información crítica de sus endpoints y servidores habilitados para EDR, lo que significa que tienes acceso a esos datos incluso si esos dispositivos están desconectados.
Además de poder obtener datos clave de los dispositivos incluso cuando no están en línea (por ejemplo, si se desconectan durante un ataque o si se pierde un ordenador portátil), Sophos Data Lake también permite la correlación de eventos en una escala mucho más amplia. Por ejemplo, poder identificar rápidamente que una cuenta sospechosa está registrada en varios dispositivos.
Luego, cuando hayas identificado un área de interés, puedes consultar el dispositivo con Live Discover y obtener datos en vivo increíblemente ricos y acceder de forma remota al dispositivo a través de Live Response para tomar las medidas adecuadas. Es lo mejor de ambos mundos.
Tienes 7 días de retención en el Data Lake como estándar (30 días con Sophos XDR), que se suma a los hasta 90 días existentes de datos almacenados directamente en los dispositivos.
Ten en cuenta que debes habilitar Sophos Data Lake. En la consola de Sophos Central, selecciona “Global Settings” y luego en Protección de endpoints o servidores (o ambos) selecciona la configuración “Data Lake uploads” y active la opción “Upload to the Data Lake”. Desde la misma ventana también puedes seleccionar qué dispositivos envían datos a Sophos Data Lake.
Sophos Data Lake ya está disponible para dispositivos Windows y Linux. El soporte para Mac llegará a finales de este año.
Consultas programadas
Una de las características más solicitadas, esta versión presenta consultas programadas para que puedas tener la información crítica lista y esperando. Las consultas se pueden programar para que se ejecuten durante la noche para que los datos clave estén listos para su evaluación al día siguiente.
Para configurar una consulta programada, primero debes elegir una consulta yendo al “Threat Analysis Center” y luego a “Live Discover”. Cuando hayas seleccionado la consulta que deseas ejecutar, verás una nueva opción para programar la consulta en lugar de ejecutarla inmediatamente.
Cuando la consulta se haya programado correctamente, aparecerá en tu lista de “Scheduled Queries”.
Las consultas programadas ya están disponibles para las consultas de Sophos Data Lake. Los dispositivos Windows y Linux pueden usar consultas programadas ahora y el soporte para Mac estará disponible a finales de este año. Las consultas programadas para consultas en disco llegarán a finales de este año.
Usabilidad mejorada
Aprovecha los resultados de tus consultas previas para mejorar el flujo de trabajo y obtener resultados más rápidos
. Obtendrás información clave más rápido y gracias a ello podrás tomar medidas y responder aún más rápido.
Sophos XDR
También lanzamos Sophos XDR (Detección y respuesta extendidas). Sophos XDR va más allá de los endpoints y servidores, incorporando datos de Sophos Firewall y Sophos Email con más productos habilitados para XDR.
Estos son solo algunos casos de uso de Sophos XDR:
| Operaciones de TI | Búsqueda de amenazas |
| Identifica dispositivos de IoT, invitados y no administrados | Extiende las investigaciones a 30 días sin volver a poner un dispositivo en línea |
| ¿Por qué la conexión de red de la oficina es lenta? ¿Qué aplicación lo está causando? | Utiliza las detecciones de ATP e IPS del firewall para investigar hosts sospechosos |
| Revisa 30 días para ver si hay actividad inusual en un dispositivo perdido o destruido | Compara la información del encabezado del correo electrónico, SHA y otros IoC para identificar el tráfico malicioso hacia un dominio |
Dejar un comentario