BLUESOC ENDPOINTSENTRY

24/7 endpoint detection,
active response and incident reporting
Översikt

Stoppa skadlig kod på endpoints i nära realtid

Den pågående trenden att attackera klienter med avancerad malware har drastiskt förändrat säkerhetsarbetet. Traditionellt skydd är inte längre tillräckligt effektivt för att detektera hot och måste vid detektion övergå i avhjälpande insatser i nära realtid för att tillföra värde, till exempel när det gäller ransomware.

Sentors tjänst bygger på ny teknik som identifierar hot på både servrar och klienter, teknik som dessutom är mycket lätt att driftsätta och implementera i kundens miljö.

Identifierar onormal aktivitet på klienter och servrar

Detekteringen är baserad på heuristisk analys i realtid och identifierar när kod beter sig onormalt på klienter och servrar. Information om eventuella hot och misstänkt aktivitet rapporteras och korreleras av Sentors Security Operations Center (SOC) 24/7 för att säkerställa att endast faktiska säkerhetsincidenter behöver hanteras.

Sentors SOC kan aktivt hantera incidenter enligt er IRP

När en incident är bekräftad av Sentors SOC, så kan en mängd åtgärder vidtas omedelbart, till exempel isolering av berörd klient/server, stoppa processer och ta bort skadlig kod eller bara varna kunden om en pågående incident. Alla aktiva åtgärder och rapportering sker enligt kundens definierade Incident Response Plan (IRP).

Vill du veta mer? Lämna din epostadress så hör vi av oss!

Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse och dessa kommer lagras tills dess att affärsrelationen upphört. För mer information om hur Sentor hanterar personuppgifter, läs vår integritetspolicy.

Mer information
Hur fungerar tjänsten?

Tjänsten använder en unik metod för att upptäcka hot, som inkluderar jämförelse och analys av indikatorer rörande filer, användare, nätverk och klienter/servrar.

Följande indikatorer analyseras i en flerstegsanalys och larmar till Sentors SOC, som säkerställer aktiv hantering av hot 24/7. Nedan följer en beskrivning av tjänstens flerstegsanalys:

1. Insamling – Hot upptäcks och scanning påbörjas av företagets tillgångar inklusive klienter/servrar, användare, filer och nätverk. Indikatorer samlas in och en baseline skapas för att spåra auktoriserade och skadliga förändringar i ekosystemet.

2. Analys – Insamlade indikatorer filtreras genom korrelationsmotorn, som inbegriper olika säkerhetsmoduler och beteendeanalys. Genom både statisk- och dynamisk (sandbox) analys kan avvikelser som dessa identifieras;

  • Misstänkta ändringar av nätverkskonfigureringar
  • Modifieringar av systemfiler
  • Registerändringar
  • misstänkt användaraktivitet

Automatisk flerstegsanalys används för att bekräfta hotet och för att definiera risknivå.

3. Alarm – När det har fastställts att ett hot föreligger, kommer Sentors SOC att larmas och ha möjlighet att kontrollera hotet samt vidta åtgärder i enlighet med kundens Incident Response Plan.

4. Avhjälpning – Sentor får på så vis möjlighet att hantera pågående infektioner hos kunden genom att omedelbart ta bort eller sätta infekterade filer i karantän, blockera användare eller genom att ta system offline enligt kundens IRP.

Grafisk illustration - Så fungerar tjänsten

Klicka på bilden för att se en grafisk illustration över hur tjänsten fungerar.

hur fungerar endpointsentry

Är implementeringen komplex?

Nej, tjänsten bygger på en lättviktsagent som installeras inom några timmar. Implementeringen kräver praktiskt taget inga IT-resurser för drift och underhåll.

Väl i drift påverkar inte agenten data eller användarnas tillgänglighet, prestanda eller integritet. Tjänsten säkerställer att er miljö förblir “ren” och att ni får en effektiv detektionslösning som även ser till att hantera incidenter innan de påverkar er verksamhet.

Vad sker när ett hot upptäcks?

När ett hot identifieras sker följande:

  • Hot kontrolleras mot befintliga och nya säkerhetskällor
  • Sandboxing körs antingen i en fysisk miljö eller i en molnmiljö
  • Säkerhetsanalytiker gör en manuell analys av indikatorer vid fall där de automatiska resultaten är ofullständiga. På så vis kan även riktigt avancerade hot identifieras samtidigt som andelen falsklarm minskar.

Hur kan ett aktivt hot hanteras av Sentors SOC?

När ett hot bekräftats vidtar Sentors SOC-analytiker direkta åtgärder enligt kundens IRP för att hindra genomförande, spridande och exfiltrering av data.

Exempel på actions som kan utföras av Sentors SOC 24/7:

  • Isolera klient/server från nätverk
  • Stoppa processer
  • Rensa filer
  • Extrahera filer för analys
  • Låsa användare
  • Notifiera kunden vid incident (utförs alltid vid upptäckta incidenter)

Vilka endpoints har tjänsten stöd för?

Tjänsten stödjer följande endpoints:

  • Windows
  • Unix
  • Linux
  • Mac

Prenumerera på nyhetsbrevet

Vill du hålla dig uppdaterad inom IT- och informationssäkerhet? Anmäl dig till vårt nyhetsbrev här!
Anmäl dig!

Security Operations Center

Sentors managerade SOC-tjänster är uppdelade i två typer; BlueSOC-tjänster och RedSOC-tjänster. BlueSOC-tjänsterna är defensiva till sin natur och har som syfte att upprätthålla det interna försvaret, genom att detektera och hantera cyberhot. Sentors RedSOC-tjänster är offensiva och syftar till att kontinuerligt identifiera och åtgärda brister i kundens säkerhet, både tekniska sårbarheter och mer strukturella.
Läs mer!

Whitepaper: Efterlev GDPR med SIEM

Den nya dataskyddslagen (GDPR) skärper kraven kring hur organisationer ska hantera personlig information. SIEM krävs för att säkerställa efterlevnad.
Ladda ned!

Whitepaper: Ransomware – Så skyddar ni er

Intresserad av att veta hur ni som organisation på bästa sätt kan hantera ransomware? Vi har tagit fram ett whitepaper med mängder av värdefulla tips.
Ladda ned!

Vill du komma i kontakt med oss?