Наша полезная информация
ESET Enterprise Inspector
Сегодня компаниям необходима прозрачность сети, чтобы новые киберугрозы, потенциально опасные действия сотрудников и нежелательные приложения не подвергали риску прибыль и репутацию.
Решение позволяет оперативно распознавать, анализировать и устранять любые угрозы безопасности в сети, в том числе:
- Обнаруживать АРТ угрозы
- Останавливать бесфайловые атаки
- Блокировать угрозы нулевого дня
- Защищаться от программ-вымогателей
- Нейтрализовать state-sponsored кибератаки
Рекомендуется использовать ESET Enterprise Inspector в сочетании со следующими сервисами:
- Внедрение решений и обучение технических специалистов Инженеры ESET устанавливают и настраивают продукты в корпоративной среде, а также обучают технических специалистов заказчика развертыванию и эффективному использованию этих инструментов с первого дня.
- ESET Threat Monitoring Операторы сервиса постоянно контролируют состояние сети заказчика и безопасность конечных точек, предупреждая в режиме реального времени, когда что-то подозрительное потребует внимания.
- ESET Threat Hunting Специалисты ESET помогают заказчикам исследовать данные, события и срабатывания ESET Enterprise Inspector, анализируют причины инцидентов и выполняют криминалистическое расследование, разрабатывают практические рекомендации по минимизации последствий.
Платформа для защиты конечных точек ESETМногоуровневая защита конечных точек, каждый уровень которых отправляет данные в ESET Enterprise Inspector |
|
Комплексное решениедля предотвращения, обнаружения и реагирования на киберугрозы, которые позволяют быстро анализировать и устранять любые проблемы безопасности в корпоративной сети. |
+ |
= |
|
ESET Enterprise InspectorСложное высокотехнологичное решение класса EDR анализирует огромное объемы данных в режиме реального времени, чтобы ни одна угроза не осталась незамеченной. |
|
Возможности
Возможности продукта
| Проактивный поиск угроз (Threat hunting)
Применение фильтров к данным для сортировки на основе популярности файла, репутации, цифровой подписи, поведения или контекста. Установка нескольких фильтров позволяет обнаруживать угрозы автоматически, фильтры настраиваются в соответствии со средой компании. Позволяет легко обнаруживать угрозы, включая АРТ и целевые атаки. |
Сбор информации
Просмотр данных о недавно запущенных модулях, включая время запуска, пользователя, время взаимодействия, атакованные устройства. Все данные хранятся локально во избежание утечек. |
| Обнаружение инцидентов (Анализ причин)
Быстрый и простой обзор всех инцидентов безопасности в разделе срабатываний. Служба информационной безопасности может в несколько кликов получить анализ причин: что было затронуто, где и когда выполнен исполняемый файл, скрипт или действие. |
Детектирование IOC
Просмотр и блокировка модулей на основе свыше 30 индикаторов компрометаций, включая хеш, модификацию реестра или файлов, сетевые подключения. |
| Расследование и исправление
Встроенный набор правил и возможность создания своих собственных для реагирования на обнаруженные инциденты. Для каждого срабатывания предлагаются дальнейшие шаги, необходимые для решения проблемы. Функция быстрого реагирования позволяет блокировать определенные файлы по хешу, завершать и помещать в карантин процессы, изолировать или удаленно отключать выбранные компьютеры. Это гарантирует, что ни один инцидент не останется незамеченным. |
Детектирование по аномалиям и поведению
Проверка исполняемого файла с помощью системы репутации ESET LiveGrid позволяет быстро оценить процессы - безопасны они или подозрительны. Группировка компьютеров по пользователю, отделу и другим критериям помогает службе информационной безопасности оперативно определить, имеет ли пользователь право на выполнение того или иного действия. |
| Нарушение политик компании Блокировка запуска вредоносных модулей на любом компьютере корпоративной сети. Открытая архитектура позволяет гибко настраивает ESET Enterprise Inspector для обнаружения нарушений политик компании в отношении используемого ПО, например, торрентов, облачных хранилищ, браузера Tor и другого нежелательного софта. | |
 |
|
Преимущества
Преимущества ESET
| Ретроспективный поиск угроз ESET Enterprise Inspector поддерживает не только настраиваемый поиск угроз, но и ретроспективный анализ. Достаточно настроить правила поведения, а затем "сканировать" базу данных событий. Это позволит идентифицировать любые новые срабатывания, соответствующие настроенным правилам обнаружения. Осуществлятеся поиск не статического IoC, а динамического поведения с несколькими параметрами. | Открытая архитектура
Обеспечивает уникальное детектирование на основе поведения и репутации, прозрачное для службы информационной безопасности. Все правила легко редактируются с помощью XTL, поэтому их можно точно настроить или создать заново в соответствии с потребностями конкретной корпоративной среды, включая интеграцию с SIEM. |
| Репутационный анализ
Всесторонняя фильтрация позволяет инженерам информационной безопасности определять заведомо "хорошие" приложения, используя систему репутации ESET. Эта система содержит базу данных из сотен миллионов файлов и гарантирует, что службы ИБ изучают неизвестные приложения, не отвлекаясь на ложные срабатывания. |
В облаке или локально
Используй преимущества гибкой и безопасной архитектуры, ESET Enterprise Inspector поддерживает как облачное, так и локальное развертывание для лучшей масштабируемости - в зависимости от размера и потребностей компании. |
| Настраиваемая чувствительность
Чтобы исключить ложные срабатывания, достаточно настроить правила обнаружения для разных групп компьютеров и пользователей. Точно задать условия срабатывания можно, объединив такие критерии, как имя файла, путь, хеш, командная строка, владелец подписи. |
Синхронное реагирование
Построенный на основе существующих решений ESET для защиты конечных точек, ESET Enterprise Inspector создает комплексную экосистему, которая перекрестно связывает объекты сети и синхронизирует устранение инцидентов. Службы ИБ могут завершать процессы, загружать файлы, вызвавшие срабатывание, просто выключить компьютер или перезапустить его прямо из консоли. |
 |
|
Пример 1
Углубленное обнаружение угроз: программы - вымогатели
Современные программы - вымогатели пытаются остаться незамеченными в сети, скрыто распространяясь на максимально возможное число конечных точек. Они проникают в хранилища резервных копий, чтобы гарантировать, что даже откат к предыдущей версии не позволит восстановить систему.
Агент ESET Enterprise Inspector расширяет функциональные возможности решений ESET для защиты конечных точек и позволяет заранее обнаружить программу - вымогатель, действующую в сети. В типичном сценарии атаки пользователь получает электронное письмо с файлом Word во вложении. Открыв документ, он видит запрос на включение макросов. Если пользователь включит макросы, в систему загружается исполняемый файл и начинает шифровать все доступные документы, в том числе содержимое внешних дисков.
ESET Enterprise Inspector предупреждает службу информационной безопасности об этом типе поведения. Инженер ИБ в несколько кликов может проверить, какие системы затронуты, где и когда выполнен конкретный файл, сценарий или действие, проанализировать причины инцидента.
Проблема
Компании необходим дополнительный инструмент для проактивного обнаружения программ - вымогателей и немедленное уведомление о подозрительном поведении в сети, напоминающем о шифраторах.
Решение
- Правила для обнаружения приложений, которые выполняются из временных папок
- Правила для определения файлов Microsoft Office (Word, Excel, PowerPoint), когда они выполняют дополнительные скрипты и исполняемые файлы
- Срабатывание при обнаружении на устройстве файла с расширением, типичным для известных программ-вымогателей
- Обзор в единой консоли срабатываний модуля "Защита от программ-вымогателей" продуктов ESET для защиты конечных точек
 |
2
Детектирование на основе поведения и повторные нарушения
Слабое звено информационной безопасности - пользователь, даже если у него нет каких - либо дурных намерений.
ESET Enterprise Inspector позволяет идентифицировать потенциальные угрозы безопасности, сортируя компьютеры по числу уникальных срабатываний. Если действия пользователя вызвали несколько срабатываний, его активность необходимо проверить.
Проблема
В компании есть пользователи, постоянно сталкивающиеся с вредоносными программами. Одни и те же люди заражают компьютеры раз за разом. Они неосторожны или становятся целью атак чаще, чем другие пользователи?
Решение
- Простой и удобный обзор проблемных пользователей и устройств
- Быстрый анализ причин позволяет найти источник заражений
- Легко обнаружить векторы заражения, такие как электронная почта, интернет или USB - устройства
3
Проактивный поиск и блокирование угроз
Преимущество ESET Enterprise Inspector - проактивный поиск угроз путем "поиска иголки в стоге сена".
Применяя фильтры к данным, которые сортируются на основе популярности или репутации файла, цифровой подписи, поведения или контекста, можно идентифицировать и расследовать любую вредоносную активность. Установка нескольких фильтров позволяет автоматизировать проактивный поиск угроз и настраивать порог обнаружения в соответствии со средой компании.
Проблема
Система раннего оповещения или SOC центр выдает новое предупреждение об угрозе. Каковы следующие действия?
Решение
- Использование системы раннего оповещения для получения данных о планируемой или новой угрозе
- Проверка всех компьютеров на предмет новой угрозы
- Проверка всех компьютеров на наличие индикаторов компрометации, выполненной до оповещения об угрозе
- Блокировка угрозы для предотвращения проникновения или выполнения внутри сети компании
 |
4
Прозрачность сети
ESET Enterprise Inspector - решение с открытой архитектурой, поэтому служба информационной безопасности может корректировать правила детектирования, описывая методы атаки на среду организации.
Открытая архитектура позволяет гибко настраивать ESET Enterprise Inspector для обнаружения нарушений политик компании в отношении используемого ПО, например, торрентов, облачных хранилищ, браузера Tor, запуска собственных серверов и другого нежелательного софта.
Проблема
Некоторые компании обеспокоены тем, что пользователи запускают в системе различные приложения.
Решение
- Удобный просмотр и фильтрация всех установленных приложений на разных устройствах
- Просмотр и фильтрация всех скриптов на разных устройствах
- Простая блокировка запуска неавторизованных скриптов и приложений
- Исправление проблем путем уведомления пользователей о неавторизованных приложениях и автоматическое удаление
 |
5
Контекстно - зависимое расследование и исправление
"Вредоносная" активность зависит от контекста
Действия, выполняемые на компьютере администратора сети, сильно отличаются от действий, например, финансового департамента. При правильной группировке компьютеров служба информационной безопасности легко определит, может ли данный пользователь выполнять те или иные действия на этом устройстве. Синхронизация групп компьютеров в ESET Security Management Center и правил ESET Enterprise Inspector обеспечивает выдающиеся результаты работы с контекстом.
Проблема
Данные так же хороши, как их контекст. Для принятия правильных решений необходимо знать, что это за срабатывания, на каких устройствах они зафиксированы, какие пользователи их вызывают.
Решение
- Определить и отсортировать все компьютеры в соответствии с Active Directory, с помощью автоматической или ручной группировки
- Разрешить или заблокировать приложения или скрипты для групп компьютеров
- Разрешить или заблокировать приложения или скрипты для пользователей
- Получать уведомления для определенных групп
6
Простая настройка и реагирование - не придется привлекать службу ИБ
Даже если в компании есть служба информационной безопасности , ее сотрудникам зачастую сложно расставить приоритеты и выбрать следующий шаг среди всех уведомлений и срабатываний.
Поэтому для каждого срабатывания предлагаются шаги, необходимые для исправления. ESET Enterprise Inspector предлагает возможность быстрого реагирования. Определенные файлы могут быть заблокированы по хешу, процессы завершены и помещены в карантин, выбранные компьютеры изолированы или удаленно отключены.
Проблема
Не во всех компаниях есть служба информационной безопасности. Ввод и внедрение расширенных правил детектирования может стать проблемой.
Решение
- Более 180 предварительно настроенных правил
- Простое реагирование с помощью одной кнопки позволяет заблокировать, отключить или изолировать устройства
- Для каждого срабатывания предлагаются дальнейшие шаги, необходимые для решения проблемы
- Правила можно редактировать через XML, что упрощает их настройку или создание новых правил