針對端點的滲透行為偵防,Intel Security的解決方案是McAfee Active Response(MAR),強調高度整合ePolicy Orchestrator(ePO)平臺和Threat Intelligence Exchange(TIE)威脅情資平臺,提供管理者事件的自動回應機制,以及與情資平臺的共同防護能力。
原本,MAR是獨立產品,但我們在測試的期間,原廠正好在整併企業端點防護的產品線,於是,MAR成為Intel Security企業端點防護平臺最高階版本Endpoint Threat Defense and Response的專屬功能,不再單獨銷售。因此,廠商所提供的建議售價,已同時包含防毒軟體、防火牆、網頁控制等各種端點防護解決方案的功能。當然,相對來說,若不需要這些功能,可能就沒有很划算。
此外,在相關的文件中,TIE並非建置現行1.1.0版MAR的必要條件,然而原廠實際替我們建置測試環境時,還是涵蓋了這個情資平臺。實際上MAR若是與TIE搭配運作,可與企業內部McAfee的端點安全及網路安全設備形成聯防的效果。不過,即使沒有建置TIE,管理者還是可以利用MAR做出阻斷或其他回應措施。
政策設定與報表功能都較為豐富
MAR幾乎完全融合在ePO管理平臺之中,最顯著的相關功能是在威脅事件搜尋Active Response Search,其餘像是儀表板、政策設定、報表功能,幾乎都與其他的McAfee防護產品共用。若想要針對MAR了解相關的操作方式,可能需要花點工夫才行。
但從另一個角度來看,也因為與ePO平臺高度整合,與MAR有關的大多數功能都已經中文化,是這次我們測試的產品中,唯一擁有中文化的管理介面,但Active Response Search與Threats Workspace的介面仍維持為英文。不過,原廠表示,在12月推出的MAR 2.0版,介面中文化會將更為徹底。
在政策的設定中,部分MAR可設定的防護功能,較為接近Palo Alto Traps和FireEye HX 4402,例如,管理者可以決定啟用TIE協助分析端點的威脅情報,或是允許透過端點代理程式通知使用者,也可以調整MAR在偵測到惡意行為時的處置方式等。
而對於安全處理程序清單,MAR也有,只是不同之處在於,MAR主要採用的是TIE的信譽評等機制,會顯示軟體的版本,而非MD5雜湊值,也沒有提供執行特定處理程序的端點電腦數量統計。
想要總覽端點設備的狀態,MAR提供了威脅事件儀表板;但值得一提的是報表的部分,管理者可選擇多種呈現形式,像是圓餅圖、折線圖,也可以採用表格等樣式製作報表。
提供待處理威脅事件資訊的儀表板
在ePO資安平臺中的McAfee Active Response儀表板中,以威脅事件為依據,提供管理者發生事件的類型、於企業中群組的分布情形,以及近日出現的事件統計,進而優先處置需要聚焦的問題。
具有能夠陳列指定資訊的威脅搜尋功能
基本上,Active Response Search是尋找可疑行為、並對於有問題的端點電腦,遠端直接進行下達命令的專用功能,管理者可以指定主機名稱、檔案名稱、設備狀態等,下達多重的搜尋條件,此外,也能設定搜尋結果所呈現的欄位順序,例如,我們可以找尋執行SVCHOST.EXE這支處理程序的端點電腦,並指定搜尋的結果要顯示電腦名稱,以及SVCHOST.EXE的檔案大小、MD5雜湊值等資料,查詢時算是相當彈性。
相對於其他產品來說,Active Response Search指令的功能較多,同時難度也較高,儘管輸入時系統會提示相關指令,但還是有相當的學習門檻。
此外,若是常用的搜尋條件,管理者也可以從Active Response Searches Catalog頁面中,套用曾經使用過的指令,再重新執行搜尋。
當搜尋完成之後,管理者就可勾選特定需要進一步處置的電腦,執行回應的指令,例如將有問題的檔案刪除並告訴端點電腦的使用者,或是下達立即關機等特定命令。管理者也可以將搜尋後的電腦清單匯出,供後續進一步追蹤之用。
若是要深入調查事件,MAR也提供Threat Workspace頁面,依據發生威脅的時間點、受影響端點清單,以及處理程序運作時間軸等資訊,呈現攻擊鏈。
針對指定情況,提供自動回應的能力
而管理者在MAR手動找尋事件,並做出回應之外,這套系統也能套用ePO平臺的自動回應機制。顧名思義,這是依據特定條件發生時,MAR促使自動執行某個任務的功能。相較於需要略懂指令的Active Response Search,設定自動回應機制時,只要依照指示,直接點選所需的項目,就能完成。
例如,針對發現某個異常事件的電腦,像是勒索軟體,我們可以藉由自動回應機制,設定當發現端點電腦加密了50個檔案時,就自動透過MAR的回應功能,限制端點電腦的網路連線能力。
McAfee Active Response特色總覽
MAR提供包含中文在內的多國語言介面,對於使用者而言,較有親和力,此外,這款系統的功能相當豐富,不只提供攻擊鏈,更可自訂在遇到指定情況時,由MAR自動執行某些工作。
具備提示功能的搜尋框
想要在MAR中找尋指定事件,這套系統中的搜尋功能可在管理者輸入部分字元時,提示可用的指令或參數,減輕管理者需要記憶大量指令的麻煩。此外,藉由特定的參數,管理者能夠指定搜尋結果所呈現的資料內容(欄位)。
可由系統自動回應威脅事件
MAR提供了自動回應的功能,管理者透過設定精靈,指定在發生某些情況時,自動執行指定動作。以圖中為例,管理者可設定在端點電腦遭受惡意攻擊時,直接由MAR自動切斷網路連線,或是下達命令,限制這臺電腦的連線能力。
提供威脅事件調查專屬網頁
針對可疑事件,MAR提供了威脅事件工作區(Threat Workspace),當中彙整了事件的時間點、受到影響的端點電腦,以及處理程序執行的狀態等,以圖像化呈現,管理者透過點選頁面上與事件有關的端點電腦,就能在右方側邊欄位檢視其詳細資料。
產品資訊
McAfee Active Response
● 原廠:Intel Security(02)6622-0000
● 建議售價:包含McAfee Active Response的防護方案Endpoint Threat Defense and Response,每人每年5,400元(未稅),最少需購買5人
● 伺服器部署形式:軟體部署
● 管理功能:端點AD整合、報表輸出、警示通知
● 政策設定:阻擋機制、處理程序信譽評等清單、條件式自動回應機制等
● 支援端點平臺:Windows 7~10、Windows Server、Linux
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】