在过去的一年中,我们看到,承诺在大型组织内带来秩序,以更大的可视性,到端点的狂野的西部端点检测和响应(EDR)工具的大量涌入。该方案是很常见的:IT安全通常并不知道所有的硬件和软件资产需要被保护的,但必须保护他们。即使我们努力把安全控制措施进行预防,我们知道,很多这些端点都已经通过主动威胁需要检测,评估,隔离并修复受到损害。
EDR工具是专为检测和响应(因此类别名称),大多数停留在这一点。Promisec的增加了复杂整治Promisec的端点管理器(PEM),这也正是我感兴趣的是获得在产品的密切关注。像其他EDR产品,PEM可以按计划扫描端点检测异常或畸形,并确认安全控制 - 如所需的应用程序,补丁程序,设置,等等 - 都到位。与其他产品不同的类别,PEM还可以启动端点上的脚本采取纠正措施。
我在本次审查的重点是寻找异常的端点指示恶意软件,在这种情况下,PEM可以把犯罪嫌疑人的二进制文件沙箱(Blue Coat的,帕洛阿尔托网络,FireEye的)进行分析,关联与SEIM工具报告,发出警报,并协调整治。PEM也是事件响应,它可以帮助你建立感染,并恢复端点的全部范围的完全理解到其原始状态感染有用。
PEM架构
Promisec的端点管理由Promisec的端点管理服务器,管理通信的;Promisec的端点管理分析器,其分析输入的扫描,比较的对象上端点到数据库中找到;微软SQL Server数据库,其中存储对象的定义和扫描结果(如发现在端点上的对象);和Promisec的端点管理控制中心,这是通过它您定义的配置策略为您的端点,当这些政策受到侵犯时采取行动的管理控制台。
PEM哨兵是获取通过PEM控制中心部署到端点扫描一个网段上的软件。哨兵软件运行作为Windows服务,而且不需要专用的机器。哨兵询问终结点上操作的系统上使用预先提供的凭据,格式(支持Windows,MacOS和Linux)或加密信息它发现,并将其转发给PEM分析器对政策进行比较,并放置在数据库中。