對於進階威脅攻擊呈現,CounterTack Sentinel可透過極為簡易的圖像化方式,突顯惡意攻擊的來源、需要調查的電腦,以及所有端點電腦的整體狀態,而對於事件分析資訊提供,Sentinel比起同類型產品更為詳細,有助於協助調查事件源頭。

不過,Sentinel仍然缺乏對於橫跨多臺端點電腦事件總覽的資訊呈現,也尚未提供輸出報表機制,對於自行建置的用戶來說,可能就要與SIEM連結,才能彙整成報表,代理商已經建議原廠加入相關功能。

以部署方式而言,在CounterTack設計這套產品的架構下,企業用戶必須自行架設分析伺服器,而代理商中芯數據表示,由於自行建置Sentinel分析平臺的硬體需求,以及購買時使用者授權人數最低門檻較高,因此,針對使用者人數較少的公司行號,他們在臺灣也提供以端點電腦數量計價的租用方案。

不過,無論企業選擇在內部網路環境部署Sentinel,或是租用代理商的服務,價格相較於其他產品,都高出許多——自行部署含分析平臺所需硬體,建議售價為350萬元起,而在租用方案中,每個使用者每年約1萬元。

提供事件指標,列出已知與疑似攻擊行為威脅

在CounterTack Sentinel的儀表板中,主要以近期行為統計的威脅數量,呈現端點電腦整體狀態,圖中是最近60分鐘的資料,已知分類但尚未解決事件有183件,而代理程式正在追蹤,已經標示尚待處理、結案的事件,分別有1件與2件,完整的記錄可依據行為記錄與端點清單,以及可疑事件類型檢視。

針對可疑行為,列出極為詳盡的調查資訊

針對事件的調查,管理者可以透過搜尋功能,或是直接點選儀表板中,符合特定元素的項目,例如,選擇系統正在追蹤且尚未處理的事件數量,就能檢視這類事件的清單。

此外,系統列出的可疑行為,或是端點電腦,管理者只要透過點選後彈出的選單,就能進入專屬儀表板,或是直接封鎖端點電腦,為可疑行為或是電腦加註標籤等措施,算是相當直覺。

其中,針對可疑行為的部分,比起其他同類型產品來說,Sentinel提供的資訊算是相當詳細,以處理程序的分析來說,系統區分為新建立與遭到終止的處理程序清單;受影響檔案的部分,管理者更可依據新建、被寫入、讀取、重新命名、遭到刪除者等不同情況,進行檢視,因此比起一般端點偵防系統來說,管理者可以得知事件較為完整的樣貌。

例如,在Sentinel發現某臺電腦有惡意程式執行時,就會透過警示通知提醒管理者,檢視其中的發生的行為,像是惡意程式產生的處理程序,或是其他受到影響的正常程序。

而對於某些執行完會自行刪除、藉此試圖消滅證據的惡意程式, Sentinel則是提供事件中遭到刪除的檔案資訊,因此管理者還是能夠調查來源檔案的資料。此外,若是端點電腦的系統檔案被有心人士竄改,記錄也同樣會留下。

提供XML格式的政策設定,具有可自訂的彈性

Sentinel判斷來自端點電腦記錄的風險依據,主要來自於政策庫存放的各種定義。Sentinel的定義區分為3種類型:偵測設定檔、視為異常行為的條件,以及入侵狀態指標(Stateful Compromise Indicators,SCI)等,但不論那一種,都是以XML語法編寫,而非圖形介面設定選單,對於管理者來說有一定的上手門檻。

不過,政策採用XML格式,也代表配置上較為彈性,不受系統圖形介面提供的選項局限,例如,管理者可以直接在段落之間,以註解加以說明,制訂這個政策的原因,或是從那個範本修改、調整了那些段落等等。而對於合適的政策範本,管理者只需透過匯入,或是將XML內容複製貼上就能套用,這也是圖像化介面必須額外提供才有的快速套用機制。

值得一提的是,由於Sentinel有預設的定義檔,系統本身還是有基本的偵測機制。在列表中,這些內建政策XML檔,針對勒索軟體家族,像是Cryptolocker、Cryptowall、Teslacyrpt等,原廠都提供專屬的偵測定義檔,而它們的名稱前都有鎖形標誌,代表企業無法自行修改這些設定。

儀表板依據端點的類型與事件處理的情況,提供威脅風險指標,管理者可快速了解整體狀態

在偵測機制設定之外,Sentinel的威脅情資整合也做得相當好。其中,透過儀表板,我們可以得知企業內部各類型的端點電腦的整體狀態,這裡依據作業系統和使用者群組兩種方式,進行分析,顯示這個類型中,端點電腦安全程度高低的分布情形。因此,管理者可以針對特定作業系統或是使用者,調整其中的防護措施。

這裡的風險等級,來自於系統從端點電腦收集的記錄判斷,Sentinel給予每個記錄打分數(滿分為100),而代表單一端點的指標,則是依據近期風險最高的事件得分為準。

此外,儀表板也會呈現近期發生的事件行為列表,這裡依據Sentinel正在追蹤中,或是已經識為已知攻擊類型的事件,顯示其中尚待處理與已經結案的事件數量。想要檢視較為詳細的資料,儀表板也提供可疑行為列表、有問題的端點電腦列表,以及最常出現的處理程序、檔案、登錄檔、網路連線等統計排行。

 

 CounterTack Sentinel特色總覽 

針對攻擊行為的呈現,Sentinel仍然大多以圖像化的方式剖析,然而政策設定與搜尋指令則有特定的語法,對於管理者來說,雖然自訂難度較高,但套用已有規則極為便利,只要匯入就能上線使用。

採用XML語法,政策定義內容能夠自行訂定

對於端點電腦偵測的政策,Sentinel提供了政策定義資料庫的功能,管理者可自行編寫,制訂公司專屬的政策。只是這些政策必須以語法編寫,不像許多同類型產品提供可直接勾選的設定選項,對於管理者而言有上手的門檻。

能同時搜尋端點、檔案與可疑行為事件

當管理者透過Sentinel主控臺調查特定對象時,需要以指令進行搜尋。然而,即使不熟悉指令,Sentinel的搜尋介面也提供基本的項目供管理者點選,例如,指定搜尋資料的時間範圍,或端點是否處於運作中、事件處置的狀態等。

以時間軸呈現可疑行為發生的情形

針對單一事件的詳細資訊提供,Sentinel首先顯示其影響指標(滿分為100),並列出受到影響的端點電腦。接著,這裡以時間軸呈現各種類型的異常行為發生的時間點,管理者可點選其中的圓圈,檢視這項事件記錄的細節。

 

 產品資訊 

CounterTack Sentinel

●代理商:中芯數據(02)6636-8889

●建議售價:250個端點電腦授權為350萬元(未稅)、租用方案每端點電腦每年為1萬元(未稅)

●伺服器部署形式:軟體部署、雲端主控臺

●管理功能:端點AD整合、報表輸出、警示通知

●支援端點平臺:Win XP、Win 7、Win 10、Win Server

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容