Sophos EDR 4.0 - Ora con DataLake
Sophos
Sophos Data Lake archivia le informazioni critiche provenienti dagli endpoint e dai server abilitati all'EDR, consentendovi di accedere a tali dati anche quando i dispositivi sono offline.
Sophos Data Lake non solo consente di recuperare dati importanti dai dispositivi anche quando non sono online (ad esempio, se sono stati messi offline durante un attacco o se un laptop è stato smarrito), ma consente anche la correlazione degli eventi su una scala molto più ampia. Ad esempio, è possibile identificare rapidamente che un account sospetto è connesso su più dispositivi.
Una volta identificata un'area di interesse, è possibile interrogare il dispositivo con Live Discover, ottenendo dati incredibilmente ricchi e accedendo da remoto al dispositivo tramite Live Response per intraprendere azioni appropriate. È il meglio di entrambi i mondi.
Per impostazione predefinita, il Data Lake conserva i dati per 7 giorni (30 giorni con Sophos XDR), oltre a un massimo di 90 giorni già memorizzati direttamente sui dispositivi.
È necessario attivare Sophos Data Lake. Nella console di Sophos Central, selezionare "Impostazioni globali" e poi alla voce "Protezione endpoint o server" (o entrambe), selezionare "Caricamenti su Data Lake" e attivare la levetta "Carica su Data Lake". Nella stessa finestra è possibile selezionare quali dispositivi inviano i dati a Sophos Data Lake.
Sophos Data Lake è ora disponibile per i dispositivi Windows e Linux. Il supporto per Mac seguirà nel corso dell'anno.
Query programmate
Una delle caratteristiche più richieste di questa versione è l'introduzione di query programmate, per avere sempre a portata di mano le informazioni più importanti. Le query possono essere programmate per essere eseguite durante la notte, in modo che i dati importanti siano pronti per l'analisi il giorno successivo.
Per impostare una query programmata, è necessario innanzitutto selezionare una query andando nel Centro di analisi delle minacce e poi in Live Discover. Una volta selezionata la query che si desidera eseguire, apparirà una nuova opzione che consente di programmare la query invece di eseguirla immediatamente.
Se la query è stata pianificata con successo, apparirà nell'elenco "Query pianificate".
Le query pianificate sono ora disponibili per le query di Sophos Data Lake. I dispositivi Windows e Linux possono ora utilizzare le query pianificate, mentre il supporto per Mac seguirà nel corso dell'anno. Le query pianificate per le query su disco saranno disponibili nel corso dell'anno.
Miglioramento dell'usabilità
Lavorate ancora più velocemente con flussi di lavoro e pivoting migliorati. Raggiungete più rapidamente le informazioni importanti ed eseguite azioni e reazioni ancora più velocemente.