Na uvedené zboží a služby požaduji nabídku
S tímhle nepojede žádný server... :(
Endpoint detection and response (EDR) jsou systémy pro posílení ochrany koncových bodů v síti. Koncové body – pracovní stanice, servery, případně mobilní zařízení – jsou stále nejvíce ohroženou a zneužívanou části počítačové sítě každé organizace. Čím dál častěji jsou terčem sofistikovaných, automatizovaných kyberútoků na jejichž detekci a řešení už běžné antivirové systémy nestačí.
V rámci stále se rozšiřující rodiny bezpečnostních řešení IBM Security Qradar nabízí IBM produkt IBM Security Qradar EDR, který je zaměřený na zvýšení bezpečnosti koncových bodů sítě. Má schopnost na základě analýzy prostředí reagovat na známé i neznáme hrozby. Reakce na různé druhy hrozeb je možné automatizovat a tím šetřit čas potřebný k jejich řešení a mít možnost soustředit se na závažnější hrozby. Díky schopnostem vizualizace průběhu útoku získá zákazník přehled o tom, kterých bodů v síti se útok dotkl, a díky tomu je možné přesněji cílit práce vedoucí k odstranění následků útoku.
Řešení se skládá z těchto klíčových komponent: QRadar EDR Brain, QRadar EDR Dashboard, Agent QRadar EDR
QRadar EDR Brain
je centrální server, který ukládá a zpracovává všechna data, která shromažďuje QRadar EDR Agent. QRadar EDR Brain je zodpovědný za korelaci událostí a analýzu chování pomocí umělé inteligence a předtrénovaných algoritmů strojového učení.
QRadar EDR Dashboard
je uživatelské rozhraní QRadar EDR.Dashboard poskytuje uživatelům optimalizovaný pracovní postup nápravy napadení monitorované infrastruktury, řešení incidentů, vyhledávání hrozeb a správy koncových bodů.
QRadar EDR Brain a QRadar EDR Dashboard je možné provozovat jak v cloudu, tak i on-premise.
Agent QRadar EDR
je agent instalovaný na koncová zařízení, podporuje Linux, MaxOS a Windows. K vyhodnocování využívá strojové učení. Agent je nainstalován na každém koncovém bodě a je zodpovědný za jeho monitorování, sběr událostí, místní analýzu chování a vynucování zásad.
Agent může pracovat jak v online, tak v offline režimu. V režimu online agent odesílá události a výstrahy v reálném čase do QRadar EDR Brain. V režimu offline agent shromažďuje události a výstrahy a uplatňuje bezpečnostní zásady. Tento proces chrání koncové zařízení, i když se koncové zařízení nachází mimo počítačovou síť zákazníka a nemůže se spojit s QRadar EDR Brain. Telemetrická data jsou ukládána lokálně, do doby, kdy se agent může spojit s QRadar EDR Brain a data odeslat.
Základní komponentou agenta na koncových bodech je NanoOS – hypervizor hybridního typu schopný virtualizovat celý procesor a nabízet kontrolu paměti. Tato komponenta funguje jako zdroj telemetrie, který je schopen shromažďovat informace o procesech. Komponenta může pracovat v režimu ochrany tak, že zablokuje nebo zabrání úspěšnému spuštění škodlivého volání či procesu.
IBM Security Qradar EDR je možné integrovat i dalšími platformami, jako například s QRadar SIEM.
Služba nasazení IBM Security Qradar EDR obsahuje:
- Vstupní analýzu
o Technické požadavky na nasazení
o Analýzu cílových systémů
o Definováni rolí a přístupových práv do systému
- Instalaci systému
o Instalace serverových komponent systému na základě požadavků zákazníka, buď do cloudu anebo on-premise
o Vytvoření procesu distribuce Agent QRadar EDR na koncové body
- Konfiguraci systému
o Konfigurace komponent systému
o Nastavení reportování
o Konfigurace specifických případů chování v síti zákazníka dle analýzy
- Testování
- Vytvoření dokumentace
- Zaškolení uživatelů, kteří budou systém používat