如同一般採用雲端主控臺的企業級防毒軟體,Sophos今年新推出的Intercept X也是基於這種架構的EDR產品,用戶可線上申請後快速部署,並且能與防毒軟體共同運作,輔助找出進階威脅事件的全貌。

雖然,Intercept X採用雲端主控臺來控管所有個人端防護,但是它的管理介面,其實就是原本Sophos防毒雲端服務所用的Sophos Central,它可統管多種Sophos產品,包含端點防毒軟體、網頁閘道,以及電子郵件防護等,對於同時選購多款Sophos產品的用戶來說,管理較為便利。

在高度的集中管理設定下,相對地,Intercept X特有的項目並不明顯。因為,無論是端點防毒軟體還是Intercept X的情資與設定項目,都一同歸納在Sophos Central端點防護的項目中,用戶只會在派送端點軟體頁面上,看到特別標示為Intercept X的部分。對於單純使用Intercept X,而沒有導入Sophos其他產品的公司來說,反而增加困擾。

不過,能立即建置、使用,倒是Intercept X在部署時明顯優於其他同類產品之處。因為,大部分的EDR產品並不提供試用,而少部分提供試用版的產品,則必須先架設分析伺服器與管理平臺,再部署端點電腦的代理程式後,才能進行測試。Intercept X只要申請Sophos Central雲端主控臺帳號,就能馬上開通、免費試用這套產品30天,算是不錯。

端點代理程式與Sophos防毒軟體合而為一,並提供中文操作介面

值得一提的是,如果企業想要取得更完整的端點防護,而同時導入Intercept X,以及Sophos企業版防毒軟體雲端服務,此時,在端點電腦防護功能的執行狀態,都是透過同一個代理程式呈現。使用者若要了解Intercept X已執行的封鎖與阻斷措施,由於這個代理程式Sophos已經完全中文化,很容易得知。

至於在Sophos Central管理介面的部分,只有提供英文、德文、法文、西班牙文、日文等5種語言,原廠表示,他們計畫在2017年1月時納入中文語系。

就建置架構而言,Intercept X的代理程式,只能透過Sophos Central取得及部署,並不支援保護Windows Server。而且,所有受控的端點電腦必須連線至外部網路。至於無法對外連線的電腦,原廠計畫將Intercept X的偵防能力,與Sophos防毒內部建置主控臺版本的Enterprise Console整合,並在下個版本提供。

提供攻擊事件彙整工具,可顯示特定處理程序影響範圍

在Sophos Central的主控臺,首頁整合了多種防護產品的警示資訊,主要與Intercept X有關的功能,是功能選單中的事件根源分析(Root Cause Analysis),將依據Intercept X代理程式所收集的端點記錄,彙整成為事件,並且區隔為新增、處理中、已結案等類型,管理者可決定要先解決那些問題。

而對於單一事件,Sophos提供了3大資訊:事件總覽、影響範圍,以及關連圖。事件總覽顯示引發事件的惡意軟體、起源端點電腦、時間點等資訊,並提供管理者對於事件處理情形記錄的註解功能。

另一個所謂的「影響範圍」,則是列出所有影響到的電腦檔案、處理程序、登錄檔等,以及有關的網路連線記錄。

值得一提的是,在一般檔案之外,這裡獨立列出受影響的文件檔案,像是DOC、XLS、PPT等常見的類型,如果端點電腦受到加密勒索軟體攻擊時,管理者可得知那些公司資料被影響,之後,藉此檢視需要復原的文件。除此之外,由於單一事件可能影響的檔案相當多,這裡也提供將清單匯出為CSV檔案功能。

在Intercept X的事件分析中,「關連圖」的功能則是依據執行的處理程序為主軸,呈現與其相關的檔案內容。管理者可點選特定的處理程序、檔案、登入檔修改記錄等資訊,檢視其關連性,算是相當直覺。

但這裡對於處理程序顯示的資訊,只有其執行檔的路徑,而針對遠端列管電腦,一旦有感染疑慮時,所能執行初步處理的措施,較為有限──Sophos Central只能對於端點電腦下達執行掃描命令。若後續要進行調查,管理者可能就要透過其他方式取得檔案。相較之下,其他的產品可提供惡意程式原始檔案下載,也具有下達封鎖命令的功能,反應機制較為完整。

針對常用處理程式類型的偵測,提供一鍵快速開關的設定機制

在Sophos Central中,若要設定Intercept X有關的政策,可在威脅防護項目,進行處置措施與處理程序防護。以處置措施而言,主要是允許端點自動清除惡意程式,或是啟用攻擊根源分析機制。

而對於處理程序防護的設定,是對於勒索軟體、特定類型應用程式,以及處理程序的保護,提供開關機制。Intercept X能對於網頁瀏覽器、Java應用程式、Office軟體等加以保護。

不過,這裡只有顯示處理程序的類型,沒有列出保護範圍涵蓋的應用程式,我們認為,若是能夠顯示選項中所代表的軟體,甚至允許管理者自訂,加入像是公司專用的應用程式,這個開關機制會更加實用。

呈現企業整體端點、郵件、網站威脅情勢概況

想要得知所有安裝Intercept X端點電腦的概況,管理者可由雲端服務主控臺Sophos Central的儀表板介面檢視,並能從左側選單的Root Cause Analysis,查看並調查攻擊事件。

 Sophos Intercept X特色總覽 

在Sophos Intercept X網頁介面上,對於端點威脅事件的分析,主要放在事件根源分析項目中,系統將記錄彙整為事件,並顯示受到關聯的電腦、文件檔案、登錄檔,以及網路連線清單,以及透過圖像化的方式,讓管理者檢視其中攻擊的路徑。

針對加密勒索軟體攻擊提供文件保護

針對Intercept X的防護功能,管理者可在政策中調整細部項目,包含保護文件、特定類型的應用程式,以及處理程序的保護能力,並能啟用惡意軟體行為偵測機制、網路流量的監控,與自動清除惡意軟體與否。

彙整端點可疑事件相關資料

對於攻擊事件,Intercept X能為管理者提供關連的檔案、處理程序、登錄檔修改記錄等清單。而這裡又將文件檔案(Business files)獨立出來,顯然是為了針對加密勒索軟體攻擊事件而設。因為端點如果發生針對文書檔案的威脅,管理者就能得知影響範圍。

利用攻擊鏈圖解,可突顯單一處理程序影響範圍

在Intercept X的攻擊鏈中,不只能夠圖像化呈現事件的全貌,管理者也可點選其中一個處理程序,追查其影響的範圍,包含其觸發的處理程序、讀取或執行的檔案,以及登錄檔修改和網路連線等。

 

 產品資訊 

Sophos Intercept X

● 原廠:Sophos(02)7709-1980

● 建議售價:1到9人環境,每人每年2,208元(未稅)

● 伺服器部署形式:雲端主控臺

● 管理功能:端點AD整合、報表輸出、警示通知

● 支援端點平臺:Win 7、Win 10

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容