在过去的一年中,我们看到了大量的端点检测和响应(endpoint detection and response,EDR)工具的涌入,这些工具承诺通过更高的可见性,为大型组织中端点的西部带来秩序。这种情况非常常见:IT安全通常不知道需要保护的所有硬件和软件资产,但必须保护它们。即使在我们努力实施安全控制以进行预防的同时,我们知道,这些端点中的许多已经受到需要检测、评估、隔离和补救的活动威胁的危害。
EDR工具是为检测和响应而构建的(因此是类别名称),大多数都是这样。Promisec为Promisec Endpoint Manager(PEM)添加了复杂的修正,这正是我有兴趣仔细研究该产品的原因。与其他EDR产品一样,PEM可以按计划扫描端点,以检测异常或异常,并验证安全控制(如所需的应用程序、修补程序、设置等)是否到位。与该类别中的其他产品不同,PEM还可以在端点上启动脚本以采取纠正措施。
我在这篇评论中的重点是发现端点上的异常,表明存在恶意软件,在这种情况下,PEM可以将可疑的二进制文件推送到沙盒(Blue Coat、Palo Alto Networks、FireEye)进行分析,并与SEIM工具相关联,用于报告、发出警报和协调补救。PEM对于事件响应也很有用,它可以帮助您全面了解感染的范围,并将端点恢复到原始未感染状态。
质子交换膜体系结构
Promisec终结点管理器由管理通信的Promisec终结点管理服务器、分析传入扫描并将终结点上找到的对象与数据库进行比较的Promisec终结点管理分析器、Microsoft SQL Server数据库组成,它存储对象定义和扫描结果(例如在终结点上发现的对象);以及Promisec终结点管理控制中心(Promisec Endpoint Management Control Center),后者是管理控制台,通过它可以定义终结点的配置策略以及违反这些策略时要采取的操作。
PEM Sentry是通过PEM控制中心部署的软件,用于扫描网段上的端点。Sentry软件作为Windows服务运行,不需要专用机器。哨兵使用预先应用的凭据查询端点操作系统(支持Windows、MacOS和Linux),格式化和加密它发现的信息,并将其转发给PEM Analyzer,以便与策略进行比较并放入数据库。