趨勢科技在偵測端點的未知威脅產品中,推出Trend Micro Endpoint Sensor(TMES)解決方案,可與OfficeScan防毒軟體搭配,將發現的可疑攻擊事件傳送至選購的Deep Discovery Analyzer(DDAn)沙箱設備,進行自動化分析並加以阻擋。
這款產品屬於Deep Discovery進階威脅產品系列的解決方案之一,然而,在1.6版之後,產品名稱去除掉「Deep Discovery」字樣。原廠表示,改名是為了符合他們軟體形式的命名原則,至於網路防護Deep Discovery Inspector,與電子郵件監控產品Deep Discovery Email Inspector兩款硬體設備,仍保留系列名稱。即便如此,現在原廠對於這款端點進階威脅防禦產品的名稱,包含臺灣、美國等地的官方網站,還是沿用舊名,使用者容易產生混淆。
此外,雖然是國內廠商推出的產品,但我們測試的版本仍然是英文介面,原廠表示,他們計畫在十二月份推出中文介面的版本。
儀表板以近期事件清單和總覽日曆呈現,便於管理者檢視過往記錄進行比對
在進入TMES的管理介面之後,可看到儀表板頁面主要以兩個區塊組成,分別是近期的可疑事件列表,以及事件總覽日曆,這樣的版面配置,與多數產品採用大量圖表的作法來說,可說是大相逕庭。雖然TMES的儀表板版面相當清爽,但比起圖表呈現的手法,還是較為單調。
在可疑事件列表中,管理者可以得知重大的事件內容,這是依據TMES在端點發現到的問題進行統計,系統會列出需要進行調查的電腦,以及TMES在這些端點電腦中找到的威脅類型等有關資訊。不過,TMES尚未直接發出警示通知的功能,因此須登入管理介面確認,或是可能要經由趨勢的管理平臺Trend Micro Control Manager發出通知。
而在可疑事件列表的下方,TMES呈現的事件總覽日曆,能夠協助管理者快速找尋之前的重要可疑事件,對於想要尋找過往的記錄時,就可依據日期進行瀏覽。我們還可將這樣的事件檢視方式在儀表板中切換,一次顯示整個月、一週,或是一天的資料,整體而言算是相當直覺。
只是在TMES的儀表板中,如果能夠再提供統計數據類型的圖表資料,像是列出企業內部最常出現的惡意程式,或是容易遭到攻擊的端點電腦等,有助於管理者更快掌握所有端點整體的狀況。
以日誌型式歸納每天發現的未知威脅
在趨勢Endpoint Sensor(TMES)的儀表板中,可區分為重大威脅事件與近期日誌兩個部分,前者以列表型式呈現,後者則以日曆的樣貌,供管理者依據日期,瀏覽攻擊事件記錄,並能由單月切換至單週或單日檢視。
可依據檢查規則或是標記,進行搜尋記錄過濾
原廠在TMES產品的定位中,主要還是針對可疑事件的收集與查找能力。管理者在TMES網頁介面下達查詢的命令時,端點啟動相關的尋找任務,與記錄的內容進行比對。而部署在用戶端PC的代理程式,平時則是將所有事件記錄後,傳送到TMES伺服器。
過濾端點電腦可能潛藏的危機,是TMES最重要的功能之一,而在規則中,一般是採用系統內建的政策,這組政策是由原廠的技術人員維護,並定期透過網路更新,不開放用戶自行修改其中的設定。不過,在TMES基本的內建政策之外,企業的管理人員也可匯入自訂的IOC(Indicators Of Compromise)規則檔案,做為掃描端點時的政策來源。
一般來說,在端點偵防產品的搜尋介面中,不外乎就是提供搜尋框,讓管理者輸入檔案名稱或是指令,執行搜尋後的結果呈現在搜尋框下方。而TMES提供過濾條件的功能,可進而縮小搜尋範圍,條件包含透過原廠或是自行套用政策發現的記錄,以及由管理者加註的標籤等。即使在TMES的過濾功能中,也許可運用的條件命令不如其他軟體豐富,然而就關鍵字配上過濾條件的做法來說,顯得非常簡單易用。
以圖像化攻擊鏈形式呈現惡意軟體的行為
在TMES的管理介面中,大多以實用導向的表格呈現,其中最為圖形化的部分,莫過於惡意軟體的攻擊鏈。在攻擊鏈中,TMES由左至右呈現事件中的有關端點電腦與應用程式,以及惡意行為的執行途徑。而對於攻擊鏈中的檔案分析,這套軟體會以紅色標記有問題的檔案,若點選詳細資料,就能切換較為完整的檔案關連資訊,包含電腦名稱與識別為安全的檔案。
不過,由於這款產品尚未提供與AD使用者帳號整合的功能,即便攻擊鏈上的詳細資料會顯示使用者名稱,但管理者還是需要自行找尋電腦的所有人。
另外,在管理者自行調查之外,對於想要自動分析可疑應用程式的用戶,在TMES中則有兩種方式,一是設定連線至DDAn沙箱,另一種則是搭配原廠提供的分析服務,將檔案自動上傳到指定的網路資料夾,交由原廠專責人員檢查。不過,趨勢科技表示,基於對於客戶資料保護的考量,除非搭配DDAn,分析結果才會自動回饋給OfficeScan防毒軟體,納入病毒特徵碼中,分析服務則無此機制,感覺上要自動化分析,不只必須搭配其他產品,其中的限制也不少。
趨勢Endpoint Sensor特色總覽
在端點發現的情資上,TMES以表格型式陳列相關資訊,並以攻擊鏈列出惡意軟體執行的行為,也能統整受到影響的端點,經由過濾記錄,管理者也能進一步探查事件的源頭。
透過搜尋記錄過濾滲透行為
管理者在系統查找過往的記錄,TMES提供進階的過濾機制,包含依內建的條件、指定IOC規則列為可疑的事件等,以及依據自行加註的標籤,進行進階調查,找尋事件與過往記錄的關連。
可清查端點電腦內的指定檔案
管理者在調查疑似的攻擊事件時,透過TMES,可針對特定檔案執行搜尋,端點的代理程式接收到指令後,便會查找。在調查結果中,TMES以符合條件、安全、不確定者加以歸納,管理者便能縮小偵查範圍,鎖定指定的端點電腦。
以攻擊鏈呈現惡意軟體運作的方式
惡意軟體執行的模式,在TMES中透過攻擊鏈表現,呈現事件中發生的問題,圖中的explorer.exe檔案包裝多層,觸發後接續帶出desktopdock.dll等檔案,因此管理者可藉此追查攻擊事件的源頭。
產品資訊
Trend Micro Endpoint Sensor
● 原廠:趨勢科技(02)2378-3666
● 建議售價:TMES伺服器為30萬元(未稅),端點每伺服器每年為5,000元(未稅),每工作站電腦為每年3,000元(未稅),阻擋功能所需的OfficeScan每端點每年為2,156元(未稅)
● 伺服器部署形式:□軟體部署
● 政策設定:提供匯入自訂IOC規則功能
● 支援端點平臺:Windows XP、Windows 7~10、Windows Server
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】