Nos complace anunciar que hoy, 19 de mayo de 2021, hemos lanzado algunas actualizaciones interesantes para todos los clientes que utilizan Sophos EDR (Endpoint Detection and Response) con Intercept X Advanced con EDR e Intercept X Advanced para servidor con EDR.
¿Qué hay de nuevo?
Presentación de Sophos Data Lake
Sophos Data Lake almacena información crítica de sus puntos finales y servidores habilitados para EDR, lo que significa que tiene acceso a esos datos incluso si esos dispositivos están actualmente fuera de línea.
Además de poder obtener datos clave de los dispositivos incluso cuando no están en línea (por ejemplo, si se desconectan durante un ataque o si se pierde una computadora portátil), Sophos Data Lake también permite la correlación de eventos en una escala mucho más amplia. Por ejemplo, poder identificar rápidamente que una cuenta sospechosa está registrada en varios dispositivos.
Luego, cuando haya identificado un área de interés, puede consultar el dispositivo con Live Discover y obtener datos en vivo increíblemente ricos y acceder de forma remota al dispositivo a través de Live Response para tomar las medidas adecuadas. Es lo mejor de ambos mundos.
Obtiene 7 días de retención en el lago de datos como estándar (30 días con Sophos XDR), que se suma a los hasta 90 días existentes de datos almacenados directamente en los dispositivos.
Tenga en cuenta que debe habilitar Sophos Data Lake. En la consola de Sophos Central, seleccione “Configuración global” y luego en Protección de endpoints o servidores (o ambos) seleccione la configuración “Cargas de Data Lake” y active la opción “Cargar en Data Lake”. Desde la misma ventana también puede seleccionar qué dispositivos envían datos a Sophos Data Lake.
Sophos Data Lake ya está disponible para dispositivos Windows y Linux. El soporte para Mac llegará a finales de este año.
Consultas programadas
Una de las características más solicitadas, esta versión presenta consultas programadas para que pueda tener la información crítica lista y esperando. Las consultas se pueden programar para que se ejecuten durante la noche para que los datos clave estén listos para su evaluación al día siguiente.
Para configurar una consulta programada, primero debe elegir una consulta yendo al “Centro de análisis de amenazas” y luego a “Descubrimiento en vivo”. Cuando haya seleccionado la consulta que desea ejecutar, verá una nueva opción para programar la consulta en lugar de ejecutarla inmediatamente.
Cuando la consulta se haya programado correctamente, aparecerá en su lista de “Consultas programadas”.
Las consultas programadas ya están disponibles para las consultas de Sophos Data Lake. Los dispositivos Windows y Linux pueden usar consultas programadas ahora y el soporte para Mac estará disponible a finales de este año. Las consultas programadas para consultas en disco llegarán a finales de este año.
Usabilidad mejorada
Trabaje aún más rápido con mejoras en los flujos de trabajo y la dinámica. Obtendrá información clave más rápido y podrá tomar medidas y responder aún más rápido.
Hoy también lanzamos Sophos XDR (Detección y respuesta extendidas). Sophos XDR va más allá de los endpoints y servidores, incorporando datos ricos de Sophos Firewall y Sophos Email con más productos habilitados para XDR próximamente.
Estos son solo algunos casos de uso de Sophos XDR:
IT Operations Threat Hunting
Identifique dispositivos de IoT, invitados yno administrados Extienda las investigaciones a 30 días sin volver a poner un dispositivo en línea
¿Por qué la conexión de red de la oficina es lenta? Utilice las detecciones de ATP e IPS del firewall para investigar hosts sospechosos
¿Qué aplicación lo está causando?
Revise 30 días para ver si hay actividad inusual en un Compare la información del encabezado del correo electrónico, SHA y otros IoC
dispositivo perdido o destruido para identificar el tráfico malicioso hacia un dominio
Para obtener más información sobre Sophos XDR, consulte este artículo.