Temos o prazer de anunciar que hoje, 19 de maio de 2021, lançamos algumas atualizações interessantes para todos os clientes que usam Sophos EDR (Endpoint Detection and Response) com Intercept X Advanced com EDR e Intercept X Advanced para Server com EDR.
O que há de novo?
Apresentando o Sophos Data Lake
O Sophos Data Lake armazena informações críticas de seus endpoints e servidores habilitados para EDR, o que significa que você obtém acesso a esses dados mesmo se esses dispositivos estiverem offline.
Além de ser capaz de obter dados importantes de dispositivos mesmo quando eles não estão online (por exemplo, se forem desligados durante um ataque ou um laptop perdido), o Sophos Data Lake também permite a correlação de eventos em uma escala muito mais ampla. Por exemplo, ser capaz de identificar rapidamente que uma conta suspeita está conectada em vários dispositivos.
Então, quando você tiver identificado uma área de interesse, pode consultar o dispositivo com o Live Discover e obter dados dinâmicos incrivelmente ricos e acessar remotamente o dispositivo por meio do Live Response para tomar as medidas adequadas. É o melhor dos dois mundos.
Você obtém 7 dias de retenção no data lake como padrão (30 dias com Sophos XDR), além dos atuais até 90 dias de dados armazenados diretamente nos dispositivos.
Observe que você precisa habilitar o Sophos Data Lake. No console do Sophos Central, selecione “Configurações globais” e, em Endpoint ou Proteção do servidor (ou ambos), selecione a configuração “Uploads do Data Lake” e ative o botão “Upload para o Data Lake”. Na mesma janela, você também pode selecionar quais dispositivos enviarão dados para o Sophos Data Lake.
O Sophos Data Lake já está disponível para dispositivos Windows e Linux. O suporte para Mac chegará ainda este ano.
Consultas programadas
Um dos recursos mais solicitados, este lançamento apresenta consultas programadas para que você possa ter informações críticas prontas e esperando por você. As consultas podem ser agendadas para serem executadas durante a noite para que os dados principais estejam prontos para avaliação no dia seguinte.
Para configurar uma consulta programada, você primeiro precisa escolher uma consulta acessando o ‘Centro de Análise de Ameaças’ e depois ‘Descoberta ao Vivo’. Depois de selecionar a consulta que deseja executar, verá uma nova opção para agendar a consulta em vez de executá-la imediatamente.
Quando a consulta for programada com sucesso, ela aparecerá na sua lista de ‘Consultas programadas’.
As consultas agendadas estão disponíveis agora para as consultas do Sophos Data Lake. Dispositivos Windows e Linux podem usar consultas agendadas agora com suporte para Mac chegando ainda este ano. Consultas programadas para consultas em disco chegarão ainda este ano.
Usabilidade aprimorada
Trabalhe ainda mais rápido com aprimoramentos para fluxos de trabalho e dinamização. Você obterá informações importantes com mais rapidez e poderá realizar ações e responder com ainda mais rapidez.
Sophos XDR
Hoje também estamos lançando o Sophos XDR (Extended Detection and Response). O Sophos XDR vai além dos endpoints e servidores, extraindo dados valiosos do Sophos Firewall e do Sophos Email, com mais produtos habilitados para XDR em breve.
Aqui estão apenas alguns casos de uso do Sophos XDR:
Operações de TI Caça a ameaças
Identifique dispositivos não gerenciados, convidados e IoT Estenda as investigações para 30 dias sem colocar um dispositivo online novamente
Por que a conexão de rede do escritório está lenta? Use detecções de ATP e IPS do firewall para investigar hosts suspeitos
Qual aplicativo está causando isso?
Faça uma retrospectiva de 30 dias em busca de atividades Compare as informações do cabeçalho do e-mail, SHAs e outros IoCs
incomuns em um dispositivo perdido ou destruído para identificar o tráfego malicioso para um domínio
Para saber mais sobre o Sophos XDR, consulte este artigo
Deixe uma resposta