Sophos Managed Threat Response: Além do Endpoint

Introdução

A equipe Sophos MTR fornece monitoramento 24 horas por dia, 7 dias por semana, caça a ameaças e resposta a incidentes. Para ter a imagem mais completa do ambiente de um cliente, os analistas precisam da mais ampla gama de telemetria para garantir que tenham visibilidade e contexto para fornecer a melhor proteção absoluta. Os conectores MTR e o sensor de rede MTR foram projetados para garantir que os operadores MTR tenham os dados mais importantes ao seu alcance, garantindo que os invasores tenham menos lugares para se esconder.

Visibilidade da rede

O serviço Sophos MTR fornece ampla visibilidade e recursos de resposta em terminais e servidores. No entanto, existem cenários específicos em que a visibilidade estendida de telemetria adicional aumentaria a eficácia do serviço MTR.

Combinar o endpoint e a visibilidade da rede pode ajudar em uma variedade de casos de uso, incluindo:

  • Detectar ameaças na borda: a telemetria de rede permite que os operadores de MTR identifiquem tentativas de infiltração na rede pelo perímetro.
  • Identifique ameaças durante a transmissão: os operadores MTR podem investigar ameaças detectadas em solicitações DNS, solicitações HTTP e pacotes IP. Os recursos de detecção incluem ameaças baseadas na web, como exploração de aplicativos da web, injeção de SQL e muito mais.
  • Aumente as investigações com telemetria aprimorada: com a telemetria Sophos XG instalada, o MTR pode acessar a telemetria de rede para auxiliar nas investigações e validar ameaças. Por exemplo, com eventos Sophos XG ATP, a equipe MTR pode ser alertada sobre endereços residenciais de chamadas de malware que foram classificados pela SophosLabs. Isso permite que o MTR comece a investigar hosts suspeitos e identifique dispositivos desprotegidos na propriedade.
  • Visualize o tráfego não confiável: embora a maior parte do tráfego malicioso na extremidade da rede seja identificada e bloqueada com êxito antes da entrada, pode ser útil observar a queda do tráfego como parte de um indicador maior de ataque em uma campanha de ameaça.

Destaques

  • As ferramentas isoladas tornam difícil para os operadores de segurança obter visibilidade em toda a empresa
  • Os clientes do MTR Advanced podem adicionar telemetria adicional aos dados de endpoint e servidor
  • Os conectores MTR permitem que os operadores MTR consolidem dados de várias fontes
  • O Conector MTR do Sophos Firewall adiciona visibilidade de rede para clientes que executam o XG Firewall gerenciado no Sophos Central
  • O Conector Sophos Cloud Optix MTR fornece visibilidade da nuvem com acesso à política Cloud Optix e alertas de anomalias e eventos Amazon GuardDuty.
  • O dispositivo de rede virtual MTR Network Sensor* é uma maneira simples de adicionar telemetria de rede ao serviço MTR Advanced implantando em modo sem bloqueio
  • Prevenção e supervisão adicionais para dispositivos não gerenciados MTR:
  • Dispositivos não gerenciados ou convidados: os administradores de segurança precisam garantir que a proteção esteja ativada em todos os dispositivos e sistemas em seus ambientes confiáveis. Isso inclui dispositivos convidados em sua rede e outras máquinas que não tinham o Intercept X Advanced instalado por padrão. Os administradores de segurança também devem lidar rapidamente com as novas redes que ingressam em seu domínio por meio da reorganização ou aquisições da empresa, quando não puderem reconfigurar rapidamente os novos terminais e servidores.
  • Endpoints e servidores com sistemas operacionais legados: alguns sistemas não podem ser atualizados sem custo significativo (como grandes equipamentos industriais) ou falta de conhecimento especializado (como software personalizado).
  • Dispositivos IoT: os dispositivos IoT geralmente apresentam desafios únicos do ponto de vista da segurança. A instalação de um agente de terminal pode não ser possível devido ao hardware e software proprietários, mas eles podem ser identificados por sua atividade na rede.

Visibilidade da rede: Conector MTR do Firewall Sophos

Os clientes do Sophos MTR Advanced têm a capacidade de implantar totalmente o Sophos XG Firewall em seu ambiente ou implantar o XG Firewall no modo tap enquanto utilizam um firewall não Sophos. Os clientes devem gerenciar seus XG Firewalls no Sophos Central e usar o XG Central Firewall Reporting.

O Conector MTR do Sophos Firewall gera detecções MTR dos seguintes eventos de segurança de rede: ATP (Comando e Controle), IPS, Sophos AV (e-mail, web, FTP) e Sophos Sandstorm (sandbox).

Visibilidade da rede: Sensor de rede MTR*

Os clientes Sophos MTR Advanced* têm a opção de implantar o sensor de rede MTR para obter telemetria de rede. O sensor de rede é um dispositivo de rede SF SW / Virtual e é ideal para organizações que não podem ou não querem implantar o Sophos XG Firewall. O sensor é implantado no modo sem bloqueio e não pode ser usado como um substituto para um firewall.

O sensor de rede MTR aproveita o XG Firewall MTR Connector para gerar detecções MTR de ATP (Comando e Controle) e eventos IDS premium.

Os clientes devem habilitar o Gerenciamento do Firewall Central e o Relatório do Firewall Central. Esses recursos vêm com 7 dias de armazenamento de dados no Sophos Data Lake, que pode ser usado pelos clientes para realizar consultas e executar relatórios. Isso é separado das detecções MTR e retenção de dados usadas exclusivamente pela equipe MTR.

ESTUDO DE CASO
XG Firewall MTR
O conector permite que o MTR identifique a ameaça ativa

Cliente:
Um cliente MTR Advanced baseado nos EUA na indústria de educação (~ 500 dispositivos)

Um sistema de prevenção de intrusão (IPS) detectou uma tentativa de exploração de execução remota de código PHP, originada de um endereço IP russo. Embora isso normalmente indique que a ameaça foi evitada por meio da queda do tráfego, a equipe do MTR ainda investigou para confirmar. Após investigação, ficou claro que a comunicação ativa com este IP russo pela porta 80 ainda estava ocorrendo após a detecção IPS, indicando que o adversário havia circunavegado com sucesso a detecção e explorado o sistema. Detalhes e instruções do caso foram fornecidos ao cliente, explicando a natureza da detecção e recomendando um bloqueio para o IP específico em questão, bem como um geobloco para países com os quais não fazem negócios. A equipe acompanhou o cliente depois que ele fez as alterações recomendadas na configuração do firewall e confirmou que não havia mais nenhuma atividade suspeita.

Visibilidade da nuvem

Ao adicionar telemetria em nuvem, os clientes receberão monitoramento de segurança ininterrupto das principais plataformas em nuvem por uma equipe dedicada de especialistas em segurança cibernética. O conector Sophos Cloud Optix MTR fornece aos operadores Sophos MTR a visibilidade necessária para identificar rapidamente eventos críticos de segurança em nuvem usados em tentativas de violação em ambientes de Amazon Web Services, Microsoft Azure e Google Cloud Platform.

Estender os serviços do provedor de nuvem com inteligência artificial poderosa revela insights significativos e acionáveis. Os eventos do Sophos Cloud Optix geram detecções de MTR, incluindo atividade de login de usuário IAM anômala, conexões de tráfego de rede de saída e outras atividades de alto risco. Detecções adicionais de ameaças podem ser adicionadas por meio da integração com o serviço Amazon GuardDuty, que analisa CloudTrail, DNS e logs de fluxo VPC.

Sobre o Sophos Managed Threat Response

O serviço Sophos Managed Threat Response (MTR) fornece caça, detecção e resposta 24 horas por dia, 7 dias por semana, por uma equipe de especialistas da Sophos como um serviço totalmente gerenciado. Enquanto outros serviços de detecção e resposta gerenciada (MDR) simplesmente notificam você sobre ataques ou eventos suspeitos, com o Sophos MTR, sua organização é apoiada por uma equipe de elite de caçadores de ameaças e especialistas em resposta que tomam ações direcionadas em seu nome para neutralizar até mesmo os mais sofisticados ameaças. Os clientes que optam por aproveitar o Sophos MTR também recebem o Intercept X Advanced com EDR.

Como comprar?

Basta contatar a SN Informatica, seu parceiro Sophos e adquirir a licença mais adequado ao seu ambiente, projeto ou rede.

documento original em: DataSheet

Gostou? Compartilhe: