Endpoint Detection and Response

Gli Agent di Agger rilevano anomalie e bloccano ogni minaccia di sicurezza.

Overview

Gli Agent di Agger monitorano l’Endpoint analizzando il comportamento del sistema operativo e dei processi in esecuzione per rilevare anomalie e potenziali incidenti di sicurezza. L’Agent utilizza sorgenti di intelligence per ricercare indicatori di compromissione (IOC) e indicatori di azione (IoA) e reagisce automaticamente secondo regole predeterminate. Il server Agger orchestra la reazione a livello di infrastruttura condividendo informazioni con tutti gli agent e valutando le più appropriate reazioni in base alla disponibilità e alla criticità di ciascun endpoint.

Come funziona

Gli agent utilizzano indicatori di compromissione (IOC), indicatori di azione (IoA) e speciali algoritmi di Machine Learning per rilevare ogni eventuale anomalia.

Sulla base di regole pre-autorizzate, l’Agent è in grado di eseguire azioni di contenimento dell’incidente al livello di singolo endpoint: uccidendo, fermando o rilanciando processi e servizi; autorizzando o bloccando le connessioni di rete; autorizzando o bloccando i dispositivi USB; eseguendo qualsiasi tipo di comando.

Gestione

La console centralizzata consente la completa gestione dell’infrastruttura Agger EDR, il controllo totale di tutti gli endpoint remoti e l’accesso a tutti i log ed evidenze raccolti per poter eseguire un’indagine approfondita degli incidenti.

I Vantaggi

Endpoint Detection and Response

01.

Agent software disponibile per tutti i S.O. Microsoft da XP in poi, Linux, Unix.

02.

Facile e veloce installazione e configurazione grazie alla capacità di auto-apprendimento.

03.

Difesa dell’endpoint anche se non collegato alla rete aziendale.

04.

Identificazione delle minacce dalle anomalie comportamentali dei processi e delle comunicazioni di rete.

Caratteristiche

  • Comportamento del sistema operativo e dei processi/servizi (comunicazioni di rete, file, registro, dispositivi).
  • Log del sistema operativo, delle applicazioni e dell’utente.
  • Analisi del comportamento dei processi/servizi a livello utente e kernel.
  • Monitoraggio euristico basato su IA dei processi/servizi di sistema a livello utente e kernel.
  • Intercettazione di hook a livello di kernel con la possibilità di bloccare o negare l’esecuzione di file sospetti.
  • Gestione automatica del firewall locale.
  • White e Black list dei processi/servizi.
  • Funzionalità di scansione multi-antivirus tramite il server centrale.
  • Ricerca pianificata di indicatori di compromissione.
  • Individuazione automatica di nuovi dispositivi sulla stessa rete.
  • Regole di reazione locale completamente programmabili (LUA).
  • Messa in quarantena di un endpoint infetto isolandolo dal resto della rete e limitandone il controllo, per la fase di investigazione, solo attraverso la console di gestione EDR.
  • Isolamento dei processi/servizi sulla rete.
  • Uccisione o blocco dei processi/servizi.
  • Classificazione degli endpoint sulla base della loro criticità.
  • Interazione con gli utenti finali.
  • Informazioni sull’utente loggato.
  • Esecuzione di dettagliati processi/servizi di riparazione in grado di apportare modifiche agli endpoint.
  • Analisi remota dei processi/servizi in esecuzione.
  • Accesso a livello di sistema operativo e file system.
  • Dump di memoria dei processi selezionati o dell’intera RAM.
  • Ricerca remota automatica o manuale e download di evidenze relative agli incidenti sul file system.
  • Analisi dinamica automatica di processi/servizi su host “non critici” utilizzandoli temporaneamente come sandbox.
  • Memorizzazione in locale dei log nel caso in cui l’endpoint non sia temporaneamente connesso al server centrale.
  • Raccolta dati specifici on-demand attraverso la console centralizzata.
  • Orchestrazione “Push” e “Pull” di dispositivi di terze parti tramite API o SNMP completamente programmabile (LUA).
  • Integrabile con SIEM esterno.