Эффективные решения для обнаружения комплексных атак на рабочие станции

Библиотека безопасника / Код ИБ Онлайн

51 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

1. FortiEDR: средство обнаружения комплексных атак на рабочие станции

Кирилл Михайлов, Fortinet

2. Зачем?

3. Зачем?

• Эволюция атак

• Управление уязвимостями

• Размытие границ сети

4. Эволюция атак

• Целевой фишинг

• Атаки с использованием легитимного ПО

• Вирусы-вымогатели

• Угрозы нулевого дня

• Вредоносное программное обеспечение

5. Размытие границ сети

6. Управление уязвимостями

7. Антивирусное ПО необходимо

• Антивирус

8. Антивирусное ПО необходимо, но не достаточно

• Антивирус

• EDR

9. FortiClient как EDR?

Защитные механизмы имеют FortiClient и FortiEDR

Безопасный удаленный доступ имеет FortiClient

Проведение расследований имеет FortiEDR

Проактивный поиск угроз имеет FortiEDR

Реагирование на инциденты имеет FortiEDR

10. Автоматизация EDR

11. FortiEDR vs . неавтоматизированный EDR

Цикл работы с инцидентами

• Мониторинг (традиционный EDR ~ 1-120 минут)

• Обнаружение (традиционный EDR ~ 1-120 минут)

• Обогащение (традиционный EDR ~ 10 минут)

• Валидация (SOC/IR Ручной процесс ~ 15 минут)

• Эскалация (SOC/IR Ручной процесс ~ 5 минут)

• Блокировка (SOC/IR Ручной процесс ~ 10 минут)

• Поиск (SOC/IR Ручной процесс~ 10 минут)

• Устранение (SOC/IR Ручной процесс ~ 1 час)

FortiEDR: обнаружение, блокировка и устранение в реальном времени

12. Схема работы FortiEDR

1) Защита: pre-infection

• Префильтрация

Шаг 1: Коллектор блокирует известные угрозы

Шаг 2: Коллектор реагирует на угрозы в соответствии с заранее заданными политиками

2) Защита: post-infection

• Запись

Шаг 3: Коллектор собирает метаданные ОС

• Сбор данных

Шаг 4: Коллектор передает снэпшот запроса и метаданные ОС центральному компоненту

3) Реагирование

• Центральный компонент

Шаг 5: Центральный компонент анализирует данные, полученные от коллектора

Шаг 6: Центральный компонент запускает плейбук для реагирования на обнаруженную нелигитмную активность

13. FortiEDR

Архитектура

14. FortiEDR: варианты развертывания: облако

15. FortiEDR: варианты развертывания: гибрид

16. FortiEDR: варианты развертывания: локальный

17. Fortinet Cloud Services FortiEDR : варианты развертывания: offline

18. FortiEDR

Интерфейс

19. FortiEDR: главный экран

20. FortiEDR: политики безопасности

21. FortiEDR: автоматизация

22-31. FortiEDR: события

32. FortiEDR: контроль сетевых соединений

33. Вопросы?

Кирилл Михайлов, [email protected]

Просмотры

  • 51 Всего просмотров
  • 32 Просмотров Веб-сайта
  • 19 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+