Настройка защиты конечных точек

Эта статья объясняет, как настроить решение от Cato для защиты конечных точек (EPP), чтобы обеспечить безопасность ваших конечных точек.

Обзор

Решение Cato's EPP включает три типа движков EPP: File Protection, который сканирует файлы на конечной точке; Behavioral Analysis, который сканирует процессы, выполняемые на конечной точке; и Anti-Exploit, который защищает уязвимости программного обеспечения. Ваши настройки EPP настраиваются в Приложении Управления Cato, предоставляя централизованный способ управления безопасностью по всей Вашей атаковой поверхности. В Профиле защиты конечных точек вы можете настроить уровень защиты каждого движка, чтобы определить, как он реагирует на потенциальные угрозы. Используйте Политику защиты конечных точек для применения Профилей защиты конечных точек к конечному пользователю или конечной точке.

Вы можете добавить файл или процесс в список разрешенных, чтобы предотвратить идентификацию законных файлов или процессов как вредоносных, и для дополнительной защиты вы можете запустить сканирование по требованию на конкретной конечной точке.

Примечание

Примечание: Устройства, находящиеся в Китае, не могут зарегистрировать свои EPP в Cato из-за региональных ограничений.

Движки EPP

Для защиты вашей конечной точки от известного и неизвестного вредоносного ПО, решение EPP от Cato предлагает три уровня защиты для полного решения безопасности. Каждый уровень использует разные методы обнаружения для идентификации и предотвращения различных типов атак.

Защита от вредоносных программ (защита файлов)

Движок File Protection поддерживает сканирование более 300 типов файлов, включая архивированные файлы, ZIP-файлы и RAR. Файл сканируется, как только он загружен или скопирован на конечную точку, а также когда конечный пользователь пытается его открыть. Вы также можете сканировать все файлы на конечной точке в любое время с помощью сканирования по требованию.

Поведенческий анализ

Движок Поведенческий Анализ использует эвристические методы для Защитить от Неизвестно и нулевых Угрозы. Приложения и процессы постоянно мониторятся на наличие признаков вредоносной активности на основе их поведения. Примеры вредоносного поведения включают:

  • Выполнение или внедрение кода в пространство другого процесса для работы с повышенными привилегиями

  • Доступ или выполнение нелегальных операций в разделах реестра, требующих повышенных привилегий

  • Копирование или перемещение файлов в папки Системы или Windows

Анти-эксплойт

Примечание

Примечание: Поддерживается с EPP версии 1.1 и выше

Движок Анти-эксплойт использует машинное обучение для защиты от известных и неизвестных угроз, которые используют уязвимости программного обеспечения. Системные процессы, браузеры, Microsoft Office и Adobe Reader постоянно мониторятся для выявления техник, использующих уязвимости программного обеспечения. Примеры выявленных техник включают:

  • Повышение привилегий: Процессы пытаются получить несанкционированные привилегии и доступ к ресурсам

  • Инспекция процессов: Попытки сбора детальной информации о работающих процессах, системных ресурсах, использовании памяти и других критических данных

  • Извлечение учетных данных LSASS: Попытки доступа к памяти процесса LSASS и извлечения чувствительных учетных данных аутентификации

Реагирование на угрозы

После того как движок EPP выявляет потенциально вредоносную активность, настройки Защиты определяют действие, которое EPP предпринимает. Кроме того, для движка Поведенческого анализа вы можете определить, насколько он чуток к выявлению неизвестных угроз.

Следующая таблица описывает каждый уровень Защиты и пример использования для него.

Защита

Описание

Пример использования

Выкл

Сканирование EPP не выполняются, события не создаются.

Вы не хотите использовать этот движок EPP.

Мониторинг

Создается событие, если выявлена вредоносная активность, но дальнейшие действия не предпринимаются.

Вы хотите собрать данные о вредоносных файлах или процессах, не препятствуя их выполнению.

Блокировать

Вредоносный файл или процесс не может быть выполнен. Файл не изменяется и не перемещается из своего местоположения.

Это настройка по умолчанию для движков поведенческого анализа и анти-эксплойт.

Вы хотите выявлять и блокировать вредоносные файлы или процессы.

Блокировать и устранять

Вредоносный файл или процесс не может быть выполнен. Файл зашифрован и помещён на карантин, или, если это невозможно, файл удаляется.

Это настройки по умолчанию для Антивирус.

Вы хотите идентифицировать, блокировать и помещать на карантин вредоносные файлы или процессы.

Остановить

Завершить процесс зараженного приложения.

Вы хотите остановить вредоносный процесс, чтобы он не продолжал работать.
Остановить и исправить

 

Завершить зараженный процесс и, если успешно, очистить следы зловреда.
Это может включать возврат изменений файлов, удаление ключей реестра, удаление служб и т.д.

Вы хотите остановить процесс и обеспечить удаление любой постоянности.
Остановить процесс

Завершить процесс эксплуатируемого приложения и любые возможно связанные процессы. 

Остановить процессы, которые внедрили код в эксплуатируемый процесс.

Уровень чувствительности эвристического анализа поведения

Движок анализа поведения обнаруживает потенциальные угрозы на основе предсказательной модели и изучения эвристики. Уровень чувствительности движка определяет уровень доверия, который идентифицирует потенциальные угрозы. Например, настройка Агрессивный будет идентифицировать процессы с низким уровнем уверенности в том, что процесс вредоносный. Эта настройка может привести к большему количеству ложных срабатываний.

Следующая таблица параметров описывает уровень чувствительности и пример его использования.

Уровень чувствительности

Описание

Пример использования

Допустимый

Обнаруживать только те процессы, которые с высокой степенью уверенности определены как вредоносные. Это настройка с самой низкой чувствительностью.

Вы хотите обнаруживать только те процессы, которые обязательно являются вредоносными.

Сбалансированный

Обнаруживать процессы, которые с высокой степенью уверенности определены как вредоносные.

Вы хотите обнаруживать процессы, которые вероятно являются вредоносными.

Агрессивный

Обнаруживать процессы, которые с низкой степенью уверенности определены как вредоносные. Это настройка с самой высокой чувствительностью.

Вы хотите обнаруживать процессы, которые вероятно, но не обязательно, являются вредоносными.

Настройка защиты конечных точек

Чтобы определить, как EPP защищает конечные точки в вашей учетной записи, используйте EPP Профиль для определения уровня Защиты для каждого движка. Затем используйте правила в Политика защиты конечных точек, чтобы определить, на какие конечные точки применяется Профиль. Профиль может быть применен к определённым конечным пользователям, конкретным конечным точкам или к обоим.

Политики защиты конечных точек являются упорядоченной базой правил. Правила из вашей политики применяются к файлам и процессам последовательно, чтобы проверить совпадение правил. Правила, которые находятся на вершине базы правил, имеют более высокий приоритет, потому что они применяются перед правилами, расположенными ниже. Например, если правило №1 имеет Блокировать реакцию для Защиты файлов и применяется к конечной точке, где обнаружен вредоносный файл, файл блокируется. К файлу не применяются другие правила. Последнее правило по умолчанию применяет Профиль по умолчанию ко всем конечным точкам и не может быть отредактировано.

Определение Профиля защиты конечных точек

Профиль EPP определяет настройки Защиты для движка Анализа поведения и Защиты файлов. Вы можете определить разные профили в зависимости от требований для вашей EPP Политики.

EPP_Profile.png

Чтобы определить Профиль защиты конечных точек:

  1. В меню навигации выберите Безопасность > Защита конечных точек.

  2. Выберите вкладку Профили.

  3. Нажмите Новый.

    Откроется панель Создать новый профиль защиты конечных точек.

  4. Определите настройки для профиля.

  5. Нажмите Применить, а затем Сохранить.

Создание Политики защиты конечных точек

Определите правила в Политике EPP с источником и Профилем. Источник может быть идентификацией конечного пользователя или устройством конечной точки, основанным на ID конечной точки. Вы также можете установить уровень защиты (Профиль), который применяется к каждому конечному пользователю или конечной точке (Источник). Это позволяет настроить, как каждый движок EPP используется на каждом конце вашего окружения.

image3.png

Чтобы создать Политику защиты конечных точек:

  1. В меню навигации нажмите Безопасность > Защита конечных точек.

  2. Нажмите Новый.

    Открывается панель Создать новое правило политики защиты конечных точек.

  3. Определите Имя, Описание, Источник, и Профиль для этого правила.

  4. (По желанию) Настройте параметры отслеживания, чтобы генерировать События и Отправить уведомление

    Для получения дополнительной информации об уведомлениях см. соответствующую статью по Группам подписок, Спискам рассылки и Интеграции оповещений в разделе Оповещения.

  5. Нажмите Применить.

  6. Повторите шаги 2-5 для каждого правила в Политике защиты конечных точек.

  7. Включите Политику защиты конечных точек и нажмите Сохранить.

    Ползунок ( slider.png ) зеленый, когда EPP включен, и серый, когда EPP выключен.

Разрешение файлов и путей для защиты конечных точек

Иногда движок EPP может рассматривать легитимный бизнес-процесс как вредоносный. Чтобы предотвратить прерывание легитимных бизнес-процессов за счет защиты конечных точек, вы можете разрешить Объект для конечного пользователя или на конечной точке (Источник). Это означает, что он не сканируется, не блокируется и не перемещается. Для Сканирований по запросу может быть вызвано событие с действием смягчения Игнорировать. Событие для сканирования файлов не создается.

Следующие объекты могут быть разрешены для исполнения конечным пользователем, на конечной точке или обоими:

Примечание

Примечание: Пути к файлам разрешены как антивирусным, так и движком поведенческой защиты. Другие объекты разрешаются только антивирусным движком.

  • Путь к файлу

  • Путь к папке

  • Тип файла

  • SHA256 хеш файла

2023-03-16_18-15-55.png

Чтобы определить Объект для Разрешенного списка:

  1. В меню навигации нажмите Безопасность > Защита конечных точек.

  2. Нажмите на вкладку Разрешенный список.

  3. Нажмите Новый.

    Открывается панель Новый список разрешений.

  4. Определите Имя, Описание, Объект, и Источник для разрешения.

  5. Нажмите Применить.

  6. Повторите шаги 3-5 для каждого Объекта, который вы разрешаете.

  7. Нажмите Сохранить.

Сканы по защите файлов по требованию

Сканы по защите файлов запускаются при загрузке или копировании файла на конечную точку, а также при попытке конечного пользователя получить к нему доступ. Кроме того, вы можете запустить сканирование защиты файлов по требованию на конечной точке в любое время. Запустив сканирование Защита Файл по требованию, вы можете идентифицировать существующее Вредоносное ПО на Конечные точки до того, как конечный Пользователь попытается получить к нему Доступ.

По требованию сканирования сравнивают хэш файла SHA256 всех файлов, сохраненных на конечной точке, со списком известных сигнатур вредоносных программ. Если обнаружен вредоносный файл, EPP следует действию, определенному Политикой защиты конечных точек.

Запуск сканирования защиты файлов по требованию

Вы можете в любое время идентифицировать вредоносные файлы на конечной точке, запустив сканирование по требованию. Эти сканирования не выполняются после установки агента; они выполняются только после запуска из Приложения Управления Cato.

Чтобы выполнить сканирование защиты файлов по требованию

  1. Из меню навигации нажмите Доступ > Защищенные конечные точки.

    Отображается экран Защищенные конечные точки.

  2. Нажмите три точки (Three_Dots.png) на конечной точке, которую вы хотите просканировать.

  3. Нажмите Выполнить полное сканирование системы на этом конечном устройстве.

    Сканирование защиты файлов выполняется на конечной точке.

Тестирование решения EPP

После установки агента EPP на ваших конечных точках вы можете протестировать решение, чтобы убедиться, что оно предотвращает вредоносные активности на основе вашей конфигурации Политики защиты конечных точек.

Чтобы протестировать решение EPP:

  1. На конечной точке с установленным агентом скачайте и попробуйте запустить тестовый файл EICAR.

  2. Попробуйте открыть и запустить файл.

    Примечание: если загрузка файла блокируется вашим решением сетевой безопасности или браузером, скопируйте текст из файла EICAR, вставьте его в новый .txt файл и сохраните.

  3. Если решение EPP установлено и включено правильно, поведение файла соответствует вашим настроенным политикам, и создается событие.

Понимание частоты обновления базы данных

Когда движок EPP сканирует файл или процесс, он сравнивается с базой данных известных вредоносных активностей. Эти базы данных регулярно автоматически обновляются, чтобы гарантировать защиту движков EPP от последних угроз.

Статус обновления базы данных виден на вкладке Статус агента EPP.

Частота обновления базы данных:

  • База вредоносных программ: Каждый 1 час

  • CTC DB: Каждые 24 часа (эта база данных используется для междвижковых коррекций)

  • Поведенческая база данных: Каждые 2 часа

  • База эксплойтов: Каждые 2 часа

База данных, содержащая список известных легитимных файлов, которые не требуют сканирования, обновляется каждые 4 часа.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев