Siamo lieti di annunciare che nei giorni scorsi abbiamo rilasciato alcuni aggiornamenti davvero interessanti per tutti i clienti che utilizzano Sophos EDR (Endpoint Detection and Response) con Intercept X Advanced con EDR e Intercept X Advanced for Server con EDR.
Cosa c’è di nuovo?
Presentazione di Sophos Data Lake
Sophos Data Lake archivia le informazioni strategiche degli endpoint e dei server EDR-enabled, il che significa che è possibile accedere a quei dati anche se quei dispositivi sono offline in quel momento.
Oltre a essere in grado di ottenere dati chiave dai dispositivi anche quando non sono online (ad esempio se offline durante un attacco o se un laptop è fuori posto), Sophos Data Lake consente anche la correlazione degli eventi su scala molto più ampia. Ad esempio, è possibile identificare rapidamente se un account sospetto è connesso con più dispositivi.
Una volta identificata un’area di interesse, puoi interrogare il dispositivo con Live Discover e ottenere dati in tempo reale incredibilmente completi e accedere in remoto al dispositivo tramite Live Response per intraprendere l’azione appropriata. In poche parole: il meglio di entrambi i mondi.
Inoltre puoi avere 7 giorni di conservazione nel data lake come standard (30 giorni con Sophos XDR) che si aggiungono agli attuali 90 giorni di dati archiviati direttamente sui dispositivi.
Bisogna tenere presente che Sophos Data Lake deve essere abilitato. Nella console di Sophos Central è necessario selezionare “Impostazioni globali”, quindi in Endpoint o Protezione server (o entrambi) selezionare l’impostazione “Caricamenti di Data Lake” e attivare l’interruttore “Carica su Data Lake”. Dalla stessa finestra è anche possibile selezionare quali dispositivi devono inviare i dati a Sophos Data Lake.
Query schedulate
In questa versione abbiamo introdotto una delle funzionalità più richieste, le query pianificate in modo da poter avere le informazioni strategiche pronte e in attesa. Le query possono essere programmate per essere eseguite durante la notte in modo che i dati chiave siano pronti per la valutazione il giorno successivo.
Per impostare una query schedulata, devi prima scegliere tra quelle disponibili nel “Centro di analisi delle minacce” e poi proseguire in “Live Discover”. Dopo aver selezionato la query che desideri eseguire, vedrai una nuova opzione per pianificarla invece di eseguirla immediatamente.
Quando la query è stata pianificata correttamente, verrà visualizzata nell’elenco “Query pianificate”.
Usabilità migliorata
Lavora ancora più velocemente con i miglioramenti ai flussi di lavoro e le funzionalità di pivoting. Otterrai le informazioni chiave più velocemente e sarai in grado di intraprendere azioni e rispondere ancora più rapidamente.
Sophos XDR
Oggi rilasciamo anche Sophos XDR (Extended Detection and Response). Sophos XDR va oltre gli endpoint e i server, inserendo ricchi dati di Sophos Firewall e Sophos Email con altri prodotti abilitati per XDR in arrivo.
Di seguito sono riportati solo alcuni casi d’uso di Sophos XDR:
| Operazioni IT | Ricerca delle minacce |
| Identifica i dispositivi non gestiti, guest e IoT | Estendi le indagini a 30 giorni senza riportare un dispositivo online |
| Perché la connessione alla rete dell’ufficio è lenta? Quale applicazione lo sta causando? | Utilizza i rilevamenti ATP e IPS dal firewall per indagare sugli host sospetti |
| Guarda indietro di 30 giorni per attività insolite su un dispositivo smarrito o distrutto | Confronta le informazioni sull’intestazione delle e-mail, gli SHA e altri IoC per identificare il traffico dannoso verso un dominio |
Per ulteriori informazioni su Sophos XDR, consultare questo articolo.
Lascia un commento