BLUESOC ENDPOINTSENTRY

24/7 endpoint detection,
active response and incident reporting
Översikt

Endpoints och dess användare är de vanligaste attackvektorerna dagens angripare utnyttjar. Det mest effektiva sättet att förhindra dessa attacker är att använda Endpoint Detection & Response (EDR) – den bästa tillgängliga tekniken för att upptäcka attacker och vidta åtgärder för att skydda och hantera komprometterade enheter.

Attacker mot datorer och dess användare kan ske på flera sätt, exempelvis genom spam och phishing-mail, skadliga filer eller länkar som skickas till användaren eller presenteras på webbplatser som användaren besöker. En orsak till att dessa attacker är så vanliga, är på grund av att det är ett billigt och effektivt sätt att infektera och ta kontroll över en enhet som i sin tur kan användas för laterala rörelser i syfte att komma åt centrala resurser och uppnå angriparens mål. Många av de större dataintrången vi har bevittnat de senaste åren har skett till följd av en komprometterad användarenhet eller stulna användaruppgifter.

Vissa specifika attacker, till exempel ransomware, kräver detektion och blockering i realtid. Enbart detektion kommer inte att kunna stoppa en ransomware-attack, eftersom exekveringen i sig kommer att realisera angriparens mål.

Lösningen – 24/7 endpoint detection, active response and incident reporting

Endpoint Detection & Response (EDR) är den bästa tillgängliga tekniken för att skydda datorer från attacker, analysera händelserna och vidta åtgärder för att förhindra eller mitigera attackerna.

EDR använder flera metoder för att upptäcka och blockera hot, såsom heuristisk analys av kod- och användarbeteende, svartlistor och analys av kommunikation. Tekniken erbjuder också flera alternativ för respons, såsom isolering av endpoint-system, blockering av kod och nedlåsning av användares konton.

EndpointSentry kombinerar ledande EDR-lösningar med vår BlueSOC – den defensiva delen av Sentors SOC-verksamhet, bemannad av säkerhetsanalytiker som övervakar och agerar på misstänkt aktivitet dygnet runt. Vår specialanpassade lösning gör det möjligt för Sentors BlueSOC att upptäcka allt från malware-infektioner, phishing-kampanjer och åtkomst till skadliga webbsidor, till avancerade APT-angrepp och avvikande användarbeteende. När oegentligheter upptäcks kan de hanteras i nära realtid, vilket medför att många attackförsök kan stoppas innan de hinner eskalera till en regelrätt incident, alternativt minimerar effekten av en faktiskt incident.

Genom att använda EndpointSentry stärks säkerhetsnivån utan att det innebär merjobb för dig som kund. Istället förses ni med ett ledande endpoint-skydd, förbättrad detektionsförmåga, säkerhetsexpertis och triage-kapacitet dygnet runt, även när era interna säkerhetsfunktioner är inaktiva.

Så fungerar tjänsten

Endpoints ansluts till EDR-lösningen via installation av en agent. Agenten kommer övervaka det lokala systemet i syfte att identifiera skadlig aktivitet och rapportera varningar till en central konsol, alternativt vidta automatiska lokala åtgärder på enheten.

Varningar samlas in av Sentors BlueSOC, där de analyseras med hjälp av EDR-verktyg, Threat Intelligence och säkerhetsanalytikers kunskap och erfarenhet.

Om en varning visar sig vara korrekt skapar Sentors BlueSOC en incidentrapport, och om möjligt vidtas manuella åtgärder. Med tiden implementeras ytterligare automatiserad funktionalitet för att öka skyddet för endpoints utan att manuella åtgärder krävs.

Steg för steg

  • Inledande workshop för att fastställa scopet gällande vilka endpoints som ska skyddas, såsom klienter, servrar och operativsystem
  • Utrullning av agenter till berörda endpoints och anslutning till Sentors SOC
  • En Incident Response Plan (IRP) tas fram tillsammans med kunden
  • Tjänsteleveransen inleds
  • Kontinuerlig uppdatering av detektionsfunktioner, tuning / vitlistning och funktionalitet för automatisk mitigering

Teknisk beskrivning

  • Stödjer Windows, Windows Server, Mac, Linux-enheter (oberoende av plattform)
  • Erbjuder kommunikation med molntjänster eller on-premise central consoles (oberoende av plattform)
  • Om on-premise, uppsättning av serverplattform för central konsol (oberoende av plattform
  • Baserad på Microsoft Defender ATP (E5 eller separat Defender ATP license) eller Cynet360 EDR-plattform

Främsta fördelarna med tjänsten

  • Byggt ovanpå ledande EDR-lösningar från Microsoft (Defender ATP) och Cynet (Cynet360)
  • Bättre endpoint-skydd mot APT:s och nya typer av hot
  • Snabb triage/mitigering med aktiv hantering av hot 24/7
  • Förbättrat skydd för endpoints, oavsett om de befinner sig på kontoret eller remote
  • Du som kund behöver inte vara produktexpert

Vill du veta mer? Lämna din epostadress så hör vi av oss!

Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse och dessa kommer lagras tills dess att affärsrelationen upphört. För mer information om hur Sentor hanterar personuppgifter, läs vår integritetspolicy.

Prenumerera på nyhetsbrevet

Vill du hålla dig uppdaterad inom IT- och informationssäkerhet? Anmäl dig till vårt nyhetsbrev här!
Anmäl dig!

Security Operations Center

Sentors managerade SOC-tjänster är uppdelade i två typer; BlueSOC-tjänster och RedSOC-tjänster. BlueSOC-tjänsterna är defensiva till sin natur och har som syfte att upprätthålla det interna försvaret, genom att detektera och hantera cyberhot. Sentors RedSOC-tjänster är offensiva och syftar till att kontinuerligt identifiera och åtgärda brister i kundens säkerhet, både tekniska sårbarheter och mer strukturella.
Läs mer!

Whitepaper: Efterlev GDPR med SIEM

Den nya dataskyddslagen (GDPR) skärper kraven kring hur organisationer ska hantera personlig information. SIEM krävs för att säkerställa efterlevnad.
Ladda ned!

Whitepaper: Ransomware – Så skyddar ni er

Intresserad av att veta hur ni som organisation på bästa sätt kan hantera ransomware? Vi har tagit fram ett whitepaper med mängder av värdefulla tips.
Ladda ned!

Vill du komma i kontakt med oss?