許多端點的偵防系統以軟體伺服器形式提供,而FireEye Endpoint Security HX 4402(以下簡稱HX 4402)為獨立硬體設備,就價格而言,HX 4402建議售價為40,000美元(未稅),端點授權的部分,每臺收取50美元(未稅)費用,但第二年之後的維護費用需要額外計算,整體而言並不便宜。

FireEye也針對攜出公司外部的端點設備,推出可建置於邊界網路的HX 4402D,能與HX 4402搭配運作。

另外,這套產品不只保護Windows作業系統的端點之外,也是這次少數可同時支援macOS的解決方案。

能以端點的整體狀態,快速檢視企業內部存在的安全問題點

在HX 4402管理介面中的儀表板,主要以端點的狀態做為指標,將需要留意的端點加以突顯,並區分為因遭受惡意攻擊而被封鎖的端點數量、含有惡意軟體的端點電腦等。值得一提的是,針對企業內具有高價值設備,例如高階主管、擁有重要機密的端點電腦,管理者可事先在系統中加以標記,之後就能在儀表板中,優先檢視其中需要留意的情況。

端點狀態總覽頁面當中,主要有兩大功能,首先,是將需要留意的端點列出,其次則是提供所有列管的端點狀態彙整清單,供管理之用。若是想要尋找某些端點,這裡則擁有依據警示等級、所屬群組、代理程式版本等屬性的過濾機制,供管理者選用。

想要針對事件進行深入調查,HX 4402管理介面提供便利的搜尋機制,能夠讓管理者更快速找到所需的可疑行為記錄,而這套系統中的條件搜尋功能,具有自動提示機制,管理者若是以時間為條件,系統就會提示所需填入的時間格式,而且能夠直接點選運算元,像是等於、除外、大於、小於,以及介於某個區間等,算是相當不錯。

同時,管理者也可從疑似有問題的端點電腦上手。在端點電腦的清單中,HX 4402系統針對單一端點的基本狀態,以包含漏洞(XPLT)和惡意軟體(PRS)等標籤呈現其問題類型。若想要瀏覽更詳細的資訊,HX這裡可依據每個警示事件列出摘要,管理者點選展開後,就會呈現處理程序執行的記錄,並提供來源惡意檔案與受感染文件下載,做為進階分析之用。

此外,針對指定端點電腦的深入調查,管理者也可將資料從HX 4402匯出,然後,使用原廠免費提供的Redline軟體另外執行分析,檢視電腦上所有處理程序執行的狀態。

不過,由於HX 4402的功能幾乎都是針對端點分析的相關資訊,若是對於會影響到多臺電腦的事件而言,HX 4402沒有類似攻擊鏈的分析,因此對於想要調查事件全貌,可能就要搭配其他的工具輔助,採取進一步的分析。

以端點資訊醒目提示待調查事件的儀表板

在FireEye Endpoint Security HX 4402的儀表板中,主要以端點電腦的狀態為呈現的依據,圖中上方的警示資訊,告訴管理者要留意的端點,包含系統已暫時阻擋,或是尚有漏洞未處理的電腦,此外,這裡也提供端點電腦運作頻率的統整資訊。

提供誤報狀況的矯正機制

而有別於系統定時自動收集記錄,管理者也可透過即時情蒐機制,立刻執行端點清查任務,並將記錄匯回HX 4402;系統也提供鑑識功能,管理者可建立設定多組IOC(Indicators Of Compromise)規則。這裡將規則清單區分為兩種,包含一般與誤報(False Positives),特別之處也在於此,目前少有同類產品提供類似誤報的記錄機制。

誤報指的是正常行為被誤判為異常。在HX 4402中,管理者調查發現是誤報事件時,就能將所採用的IOC規則列至誤報區結案。因此,即使執行正當行為的軟體,被當做有問題的程式時,管理者確認非惡意行為後,就能解除端點電腦的封鎖裝置,並修改IOC清單。這些矯正行為可藉由這個機制留下記錄,避免有問題的IOC規則再被拿來使用。

在HX 4402的管理介面之中,管理者可調整HX 4402伺服器IP位址、列管端點,並且控管這些電腦所安裝的代理程式版本等。但這裡也提供了IOC偵察規則以外的運作功能調整,主要分為漏洞防護、即時監控、端點資源限制等項目。

以漏洞防護功能為例,管理者可以調整所有端點的運作方式,在啟用防護能力之餘,這套系統提供彈性設定,可開啟或關閉直接阻擋可疑行為和惡意程序,以及通知端點使用者與否。此外,還能選擇監控的類型,像是啟用或排除掃描應用程式、檔案與資料夾,或是檔案MD5雜湊值等內容。

 FireEye Endpoint Security HX4402特色

總覽 

對於可疑攻擊事件的調查與樣本採集,HX系列設備內建豐富的功能,在政策的部分,管理者也能調整阻擋措施,以及啟用通知使用者的警示視窗與否。

提供偵測政策的調整彈性

在HX 4402防護系統中,提供管理者調整端點對於可疑惡意行為處理的方式,包含直接阻擋有關處理程序,或是通知端點使用者與否,並且能針對指定的端點電腦或是群組排除,避免執行相關的功能。

彙整端點可疑事件以供採集樣本

針對端點的檢視,HX系列防護列出所有管理者應該要留意的警示事件,主旨以標籤加註,像是已阻擋(BLK)和識別為惡意行為(XLPT)等,並且提供事件的詳細內容,讓管理者可採集遭感染的檔案或文件等進行分析。

可掌握處理程序出現問題的時間點,進行調查

對於事件的追查,管理者可從HX 4402分析總覽指定端點電腦,針對報告中疑似異常的處理程序進一步調查,管理者也可匯出相關資料,並以FireEye提供的Redline軟體進行離線分析。以圖中的Explorer.exe而言,HX 4402會用時間軸呈現執行時段、呼叫的網路IP位址、修改機碼記錄,以及使用過的檔案等,並以紅點標示出發現可疑行為。

 產品資訊 

FireEye Endpoint Security HX 4402

● 原廠:FireEye(02)5551-1268

● 建議售價:HX 4402為40,000美元(未稅);每個端點授權為50美元(未稅),第二年後維護費用另計

● 伺服器部署形式:實體設備

● 管理功能:端點AD整合、報表輸出、警示通知

● 政策設定:高風險設備群組與誤報紀錄等

● 支援端點平臺:Windows XP、Windows 7~10、Windows Server、macOS

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容