endpoint sensor
Anuncio
HOJA DE DATOS Trend Micro™ ENDPOINT SENSOR Descubre, investiga y reponde a los ataques a endpoints y servidores Los ataques dirigidos y las amenazas avanzadas han demostrado claramente su capacidad para evadir las defensas de seguridad convencionales y pasar desapercibidos, mientras se produce el robo de datos corporativos y de propiedad intelectual. Los dispositivos de protección de amenazas avanzadas pueden detectar estas actividades de ataque a nivel de red, pero no siempre pueden verificar la filtración en el endpoint, y no pueden investigar por sí solos los detalles y el alcance del ataque a través de toda la empresa. Trend Micro Endpoint Sensor es una solución de seguridad para endopoints sensible al contexto que puede descubrir ataques dirigidos supervisando de forma continua los comportamientos de los usuarios según las reglas de detección de ataques, y obteniendo elementos sospechosos para el análisis en sandbox. Endpoint Sensor es también una herramienta forense que genera informes y registra las actividades a nivel de sistema de forma detallada, permitiendo a los investigadores de amenazas acceder rápidamente a la naturaleza y la extensión del ataque. Endpoint Sensor utiliza la información de Indicadores de Compromiso (IOC) de Trend Micro™ Deep Discovery™ y otras fuentes para realizar búsquedas multinivel a través de todos los endopoints de los usuarios y servidores. Beneficios clave Descubrimiento de amenazas Identifica filtraciones utilizando la última inteligencia de seguridad disponible y firmas más actualizadas Investigación forense Descubre todo el contexto, la línea de tiempo y la extension del ataque Monitorización de comportamientos Descubre comportamientos sospechosos basados en reglas predefinidas, así como en reglas definidas de forma personalizada por el usuario Esta capacidad permite: Respuesta rápida •• Confirmar alertas de filtración en el endpoint desde Trend Micro™ Deep Discovery™ Inspector u Reduce el tiempo de acceso y respuesta ante los ataques dirigidos otras soluciones de seguridad •• Encontrar endpoints con IOC específicos, malware o actividad de comando y control (C&C) •• Analizar el comportamiento real de la ejecución de malware y los resultados •• Descubrir el contexto completo, el timeline y la extensión de un ataque PRINCIPALES CARACTERÍSTICAS Resgistro de eventos alojados en el endpoint Endpoint Sensor utiliza un cliente ligero para registrar las actividades y eventos de comunicación más significativos a nivel de kernel. Lleva a cabo un seguimiento de estos eventos en su contexto a través del tiempo, proporcionando un historial detallado al que se puede acceder en tiempo real. Múltiples parámetros de búsqueda Los endpoints pueden ser consultados para comunicaciones específicas, malware, registro de actividades, actividad de las cuentas, procesos de ejecución y más. Los parámetros de búsqueda pueden ser tanto individuales como archivos OpenIOC o YARA. Monitorización de comportamientos avanzada Las capacidades de monitorización continua pueden descubrir amenazas conocidas y desconocidas basadas en series de reglas predefinidas o reglas OpenIOC. Este tipo de monitorización puede descubrir ataques según la relación y el contexto de los comportamientos. Los ataques pueden ser descubiertos según la táctica de la amenaza, el procedimiento o la tecnología. Análisis y búsqueda centralizada Las búsquedas pueden ejecutarse directamente desde Endpoint Sensor Manager o con Trend Página 1 de 4 • HOJA DE DATOS • TREND MICRO ENDPOINT SENSOR Micro™ Control Manager™, de manera que se puede responder de forma inmediata a los ataques basados en IOC en tiempo real y a los datos de actividad de otros productos. Análisis y resultados contextuales multinivel Los cuadros de mando interactivos permiten visualizar y analizar las actividades del sistema a lo largo del tiempo, determinar la planificación de la actividad en toda la empresa y exportar los resultados de la investigación. Integración con Deep Discovery Los elementos sospechosos descubiertos por Endpoint Sensor pueden recogerse y enviarse al sandbox de Trend Micro™ Deep Discovery™ Analyzer para un análisis más detallado. In situ, en remoto y en la nube Endpoint Sensor genera informes y registra la actividad a nivel de sistema de forma detallada a través de servidores, equipos de sobremesa y portátiles basados en Windows sin importar su ubicación. Compatibilidad A/V Coexiste con cualquier software antivirus endpoint/servidor. 2 1 Descubre, investiga y responde con detección de amanezas en el endpoint y en el servidor 1 Deep Discovery detecta un ataque dirigido en la red 2 Se envía Indicador de Compromiso desde Deep Discovery a Endpoint Sensor 3 Endpoint Sensor busca filtraciones, escanea IOC similares, traza la línea de tiempo/progresión 4 Utilizando Trend Micro y reglas definidas personalizadas, Endpoint Sensor monitoriza el comportamiento de los usuarios en los endpoints. Si se descubre un elemento sospechoso, se recoge y se envía a Deep Discovery Analyzer para su análisis sandbox 4 3 CÓMO FUNCIONA ENDPOINT SENSOR Endpoint Sensor Agent Criterios de investigación Este Agente corre como un proceso de fondo de bajo perfil, recopilando el perfil detallado de los eventos y comunicaciones del sistema. Esta información está indexada y almacenada localmente para responder a las búsquedas y actividades de análisis del Gestor. El Agente también responde en tiempo real a distintas peticiones, incluyendo capturas de memoria y registro. Las búsquedas multinivel y la investigación pueden ser dirigidas de forma individual, basándose en parámetros u objetos IOC, archivos OpenIOC y archivos YARA. Los parámetros de búsqueda pueden incluir: Gestión y control centralizado El Servidor centralizado gestiona los Agentes y está a su vez gestionado por Trend Micro Control Manager para la investigación de amenazas. •• Comunicaciones: IPS, Puerto, Dominio, DNS •• Malware o cualquier archivo: Shal hash, nombre de archivo, ruta del archivo, tipo de archivo •• Registro de actividades •• Procesos de ejecución •• Actividad de la cuenta del usuario Monitorización del comportamiento Utilizando normas predefinidas y reglas IOC personalizadas, Endpoint Sensor monitoriza los comportamientos del sistema, sus relaciones y el contexto para descubrir el comportamiento del ataque descubierto. Recopilación de elementos sospechosos Los elementos sospechosos, como los adjuntos y URL, pueden ser remitidos de forma automática a un sandbox Deep Discovery para un análisis posterior. Investigación y resultados Endpoint Sensor ofrece análisis multinivel del contexto a través de paneles interactivos que permiten visualizar y analizar en detalle las actividades del sistema a lo largo del tiempo, evalúa la cronología de la actividad empresarial y exporta los resultados de investigación. Los resultados contemplan: •• Mapa cronológico interactivo de la actividad del sistema •• Descubrimiento y construcción gradual de la cadena del ataque •• Identificación de objetos, procesos y comunicaciones maliciosas •• Búsqueda del endpoint en toda la empresa en base a los resultados específicos de la investigación Page 2 of 4 • HOJA DE DATOS • TREND MICRO ENDPOINT SENSOR PARTE ESENCIAL DE TREND MICRO CONNECTED THREAT DEFENSE Para una protección adecuada ante el panorama actual de amenazas, se necesita una plataforma de protección multicapa que proporcione una defensa que abarque el ciclo completo de vida de la amenaza. Trend Micro Connected Treat Defense es un modelo de ciberseguridad que ofrece a las organizaciones una mejor manera para, de forma rápida, proteger, detectar y responder a las nuevas amenazas que les acechan, al mismo tiempo que mejoran la visibilidad y el control de toda la red. •• Protección: evalúa las potenciales vulnerabilidades y protege proactivamente los endpoints, servidores y aplicaciones •• Detección: detecta malware avanzado, comportamientos y comunicaciones que resultan invisibles para una defensa estándar •• Respuesta: permite responder rápidamente a través de la inteligencia de amenazas compartida y proporciona actualizaciones de seguridad en tiempo real •• Visibilidad y control: aprovecha la visibilidad centralizada de toda la red y sistemas; analiza y evalúa el impacto de las amenazas Permite responder rápidamente a través de la inteligencia de amenazas compartida y suministra actualizaciones de seguridad en tiempo real Accede a vulnerabilidades potenciales y protege proactivamente endpoints, servidores y aplicaciones RESPONDER Aporta visibilidad centralizada de todo el sistema y analiza, y evalua el impacto de las amenazas PREVENIR VISIBILIDAD Y CONTROL Detecta el comportamiento del malware avanzado y las comunicaciones invisibles a las defensas estándares DETECTAR AMPLIAR LA ESTRATEGIA DE PROTECCIÓN Endpoint Sensor forma parte de una estrategia contra amenazas avanzadas que proporciona protección donde la organización más lo necesita – a nivel de red, endpoint, email o seguridad integrada. Endpoint Sensor es especialmente útil a la hora de ayudar en la investigación y corrección de los ataques dirigidos identificados por Deep Discovery Inspector. Los datos de Deep Discovery IOC pueden ser utilizados por Endpoint Sensor para verificar las filtraciones en el endpoint y descubrir el contexto, el marco temporal y la extensión completa del ataque. Deep Discovery Inspector ofrece protección de red avanzada frente a ataques dirigidos, monitorizando todos los puertos y más de 100 protocolos para analizar virtualmente todo el tráfico de red. Los motores de detección especializado y el aislamiento de procesos en un entorno sandboxing personalizado permiten identificar y analizar el malware, las comunicaciones C&C y las actividades evasivas del atacante. Inspector proporciona inteligencia de investigación para dar una respuesta rápida y acabar con los ataques. Control Manager proporciona gestión centralizada, permitiendo el control y monitorización de múltiples capas de seguridad de Trend Micro a través de una única consola. La funcionalidad de Endpoint Sensor Manager está integrada en Control Manager para permitir investigaciones centralizadas que puedan aprovechar los datos IOC de la mayoría de los productos de Trend Micro y facilitar al investigador la toma de decisiones inmediatas para responder ante un ataque. Page 3 of 4 • HOJA DE DATOS • TREND MICRO ENDPOINT SENSOR Deep Discovery Analyzer brinda análisis sandboxing avanzado ampliando el valor de los productos de seguridad como los dirigidos a la protección del endpoint, gateways de correo electrónico y web, seguridad de red y otros productos Deep Discovery. Endpoint Sensor puede recoger y enviar elementos sospechosos a Analyzer para su análisis. Con sandboxes virtuales personalizados acordes con los estándares de la organización para el sistema operativo, preferencias de idioma y configuraciones, Deep Discovery Analyzer puede detectar ransomware, malware avanzado, exploits zero-day, C&C y descargas multietapa que procedan de cargas maliciosas o URLs en sistemas Windows y Mac. Deep Discovery Email Inspector ofrece detección de malware avanzado, incluyendo sandboxing para el correo electrónico. Email Inspector puede ser configurado para bloquear la distribución de malware avanzado a través del correo eletrónico. Este malware es con frecuencia la primera etapa de un ataque ransomware. ESPECIFICACIONES REQUISITOS DEL SISTEMA 4 GB mínimo, 16 GB recomendado. Espacio en disco disponible: 500 GB mínimo, 1 TB recomendado Sistemas operativos Windows Server 2008 SP2 (32-bit/64-bit) Windows Server 2008 R2 (64-bit) Microsoft Internet Information Services (IIS) 7 con los siguientes servicios: SERVIDOR •• •• •• •• •• •• •• Contenido estático Documento por defecto Directorio de navegación Errores HTTP Redirección HTTP ASP.NET ASP •• •• •• •• •• Extensión ISAPI Filtros ISAPI Solicitud de Filtrado Consola de Gestión IIS PHP versión 5.4.38 Base de datos Microsoft SQL Server 2008 Express Microsoft SQL Server 2008 R2 Standard recomendado Navegadores web Microsoft Internet Explorer 9 o posterior La última versión de Google Chrome La última versión de Mozilla Firefox Hardware RAM: •• 512 MB mínimo para Windows XP •• 1 GB mínimo para otros sistemas operativos Espacio disponible en disco: •• 3 GB mínimo para Windows XP, Vista, 7, 8, o 8.1 •• 3 GB GB mínimo para los sistemas operativos Windows Server AGENTE Software Sistema operativo: •• Windows Vista Service Pack 1 (32-bit y 64-bit) •• Windows XP Service Pack 3 (32-bit) •• Windows 7 (32-bit y 64-bit) •• Windows 8 (32-bit y 64-bit) •• Windows 8.1 (32-bit y 64-bit) •• Windows 10 (32-bit y 64 bit) •• Windows Server 2003 (32-bit y 64-bit) •• Windows Server 2003 R2 (32-bit y 64-bit) •• Windows Server 2008 (32-bit y 64-bit) •• Windows Server 2008 R2 (64-bit) •• Windows Server 2012 (32-bit y 64-bit) •• Windows Server 2012 R2 (64-bit) Por favor, solicite una llamada con el equipo técnico o de ventas de Trend Micro para más información. Página 4 de 4 • HOJA DE DATOS • TREND MICRO ENDPOINT SENSOR Securing Your Journey to the Cloud ©2016 Trend Micro Incorporated. Todos los derechos reservados. Trend Micro, el logotipo en forma de bola de Trend Micro, OfficeScan, TippingPoint y Trend Micro Control Manager son marcas comerciales o marcas registradas de Trend Micro Incorporated. El resto de los nombres empresas y/o productos pueden ser marcas comerciales o marcas registradas de sus respectivos propietarios. La información contenida en este documento está sujeta a cambios sin previo aviso. [DS03_DD_Endpoint_Sensor_160823ES].
