fortinet XDR 和 EDR产品调研

https://www.fortinet.com/products/fortixdr

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortiedr.pdf

https://www.fortinet.com/cn/products/endpoint-security/fortiedr

fortiedr——终端检测和响应(EDR)安全解决方案

高级自动化端点防御、检测及响应

概述

高级攻击可能只需几分钟,甚至几秒钟即可攻破端点。第一代端点检测与响应 (EDR) 工具根本无力应对。它们需要手动分类和响应,面对瞬息万变的威胁,这种方式效率低下,对已经不堪重负的安全团队来说无疑是雪上加霜。此外,传统 EDR 工具还会增加安全运营成本,并降低运营效率,从而对业务产生负面影响。

FortiEDR 能够为感染前后的端点提供高级实时威胁防护。它可以主动减少攻击面、防止恶意软件感染、实时检测和消除潜在威胁,并能够通过可定制的 playbook 自动进行响应和修复。FortiEDR 可帮助组织自动、高效地实时拦截攻击,并且可避免产生大量误报或中断业务运营,从而减轻安全团队的工作负担。 

FortiEDR 特性和规格

发现并主动缓解攻击面风险

FortiEDR 可提供最先进的自动化攻击面策略控制以及漏洞评估和物联网安全防御,支持安全团队:

  • 发现和控制不合规设备(例如不受保护或非托管设备)和物联网设备
  • 跟踪应用和评级
  • 发现并通过虚拟补丁消除系统和应用漏洞
  • 通过基于风险的主动策略减少攻击面 

下一代杀毒软件 (NGAV)

FortiEDR 借助机器学习模式杀毒引擎来阻止恶意软件预执行。这一跨操作系统的 NGAV 功能可配置并内置到单个轻量级代理(亮点功能)中,支持用户为任何端点组提供反恶意软件防护,而且无需额外安装。

  • 支持基于机器学习的内核级 NGAV
  • 借助来自不断更新的云数据库的实时威胁情报,丰富现有威胁信息
  • 离线防御功能能够为离线端点提供安全保护
  • USB 设备控制

实时自动化漏洞防御    

FortiEDR 可实时检测并消除无文件类型恶意软件及其他高级攻击,从而有效保护数据安全并预防攻击。FortiEDR 一旦检测到可疑进程流和威胁行为,就会立即阻止出站通信以及这些进程对文件系统的访问(如果请求访问这些进程),从而消除潜在威胁。这些操作可有效防止数据泄露、命令和控制 (C&C) 通信、文件篡改及勒索软件加密。同时,FortiEDR 后端会继续收集更多证据,丰富事件数据并对事件进行分类。FortiEDR 能够从根本上实时阻止数据泄露和勒索软件破坏,即使设备已受感染,也可自动确保业务连续性。
 

 

  • 利用以操作系统为中心的检测,高度准确地检测隐秘的渗透攻击,包括基于内存的离地攻击
  • 实时拦截攻击并消除威胁驻留时间
  • 对整个日志历史记录进行分析
  • 防止勒索软件加密、文件和注册表篡改
  • 持续验证威胁分类
  • 提高信噪比并消除警报疲劳

使用可定制的 playbook 编排事件响应  

使用基于跨环境的洞察量身定制的 playbook 编排事件响应操作。在单台设备或环境中所有设备上简化事件响应和修复流程,手动或自动回滚已被遏制的威胁的恶意更改配置。

  • 自动对事件进行分类并提高信噪比

 

  • 通过 playbook 自动化实现事件响应程序标准化
  • 通过自动化事件响应操作(如删除文件、终止恶意进程、撤销持久更改、通知用户、隔离应用和设备及打开服务单)优化安全资源
  • 使用事件分类和攻击对象(例如端点组)实现基于上下文的事件响应
 
  • 通过获得专利的代码跟踪技术实现解攻击链和恶意更改的可视化
  • 自动清理和回滚恶意更改,同时确保系统正常运行时间
  • 可选托管检测与响应 (MDR) 服务能够为 SOC 提供有力补充

数据丰富的引导界面

FortiEDR 可自动提供数据及感染前后恶意软件的详细信息,以便对遭到入侵的端点进行取证。其独特的引导界面提供有用的指导、最佳实践,并向安全分析师推荐合乎逻辑的后续操作。   

  • 自动开展调查,将最终用户干扰降至最低
  • 自动消除和拦截威胁,支持安全分析师根据自己的时间安排进行威胁追踪
  • 获得专利的代码跟踪技术可提供全面的攻击链和堆栈可视化,即使在设备处于离线状态的情况下也不例外
  • 保留内存攻击的内存快照,以用于基于内存的威胁行为追踪
  • 引导界面清楚说明了将事件标记为可疑或恶意的原因、列出了相应的 MITRE 攻击框架,并提供了合理的后续取证调查步骤

FortiEDR 采用 Fortinet Security Fabric 架构,并集成了许多 Security Fabric 组件,包括 FortiGate、FortiSandbox 和 FortiSIEM。 

FortiGate
FortiEDR 连接器能够与 FortiGate 共享端点威胁情报和应用信息。FortiEDR 管理可以指示 FortiGate 增强响应操作,例如在发生渗透攻击后禁用或拦截 IP 地址

FortiNAC
FortiEDR 与 FortiNAC 共享端点威胁情报和发现的资产。通过 syslog 共享,FortiEDR 管理可以指示 FortiNAC 增强响应操作,例如隔离设备

FortiSandbox
得益于与 FortiSandbox 的原生集成,FortiEDR 可自动将文件提交到云端沙箱中,支持实时事件分析和分类。此外,它还与 FortiSandbox 共享威胁情报。 

FortiSIEM
FortiEDR 向 FortiSIEM 发送事件和警报,以进行威胁分析和取证调查。FortiSIEM 还可以利用 JSON 和 REST API 进一步集成 FortiEDR。 

FortiGuard Labs
得益于与 FortiGuard Labs 的原生集成,FortiEDR 可获得最新情报,支持实时事件分类,从而准确地激活事件响应 playbook。 

管理、架构和平台支持
单个集成式管理控制台集预防、检测和事件响应功能于一体。扩展的 REST API 可用于支持任何控制台操作及其他操作。

离线保护。保护并检测端点动态,从而有效保护离线端点。

原生云基础设施。FortiEDR 具有云端多租户管理功能。它可以部署为云原生、混合或本地解决方案。它还支持物理隔离环境。

轻量级端点代理。FortiEDR 的 CPU 占用率不到 1%,最多使用 120 MB RAM 和 20 MB 磁盘空间,并且可以最大程度地减少网络流量消耗。

支持的操作系统。FortiEDR 可支持 Windows、MacOS 和 Linux 操作系统,并提供离线保护。

  • Windows(32 位和 64 位版本)XP SP2/SP3、7、8、8.1 和 10
  • Windows Server 2003 R2 SP2、2008 R1 SP2、2008 R2 SP2、2012 R2、2016 和 2019
  • MacOS 版本:Yosemite (10.10)、El Capitan (10.11)、Sierra (10.12)、High Sierra (10.13)、Mojave (10.14) 及 Catalina (10.15)
  • Linux 版本:RedHat Enterprise Linux 和 CentOS 6.8、6.9、6.10、7.2、7.3、7.4、7.5、7.6 和 7.7 以及 Ubuntu LTS 16.04.5、16.04.6、18.04.1 和 18.04.2 服务器,64 位
  • VMware 和 Citrix中的 Virtual Desktop Infrastructure (VDI) 环境。VDI 环境: VMware Horizons 6 和 7,以及 Citrix XenDesktop 7

FortiEDR 使用案例

FortiEDR 可以对感染前后的端点保护,并自动实时阻止数据泄露和篡改行为。借助基于上下文的事件响应 playbook,安全团队可以根据事件分类和目标主机自定义和自动启动事件调查和响应流程,从而优化安全运营。安全团队可以为 FortiEDR 部署部分或全部关键功能。

实时漏洞防御和勒索软件防护

借助发现和风险缓解功能,FortiEDR 可支持安全团队实时发现并主动控制不合规设备、物联网设备和应用,以及在整个系统或应用中的漏洞。FortiEDR 基于机器学习的内核级反恶意软件引擎可提供有效的恶意软件防护。

在发生安全事件时,FortiEDR 可以保护受感染设备上的数据安全并实时消除威胁,以防止数据泄露和勒索软件加密。此外,自动化事件响应和修复功能能够回滚影响端点的任何恶意更改。

优化事件响应流程

借助预定义 playbook 事件响应,安全团队可以根据资产价值、端点组和事件分类创建定制的事件响应流程,从而实现基于上下文的playbook事件响应。此操作方法支持组织以一致的方式做出安全事件响应并优化安全资源。FortiEDR 可自动实时响应事件,包括隔离设备、终止恶意进程和删除恶意文件。用户还可以在 playbook 中指定自动化修复过程,以自动清理和回滚恶意更改,而无需计算机离线。

此外,Fortinet 还提供托管检测与响应 (MDR) 服务,能够为客户的安全运营中心 (SOC) 提供有力支持。 

Fortinet Deployment and MDR Services:

1、Fortinet Professional Services provides expert assistance for deployment, configuration, playbook setup and customization, and more.
2、FortiResponder, Fortinet’s MDR service, offers 24x7 threat monitoring, alert triage, and remote remediation services.
3、Certified Fortinet MSSP partners deliver MDR services including fully managed SOCs.



安全运营技术 (OT)---为运维系统基础设施提供保护

运行不受支持及未打补丁的传统系统的制造、石油和天然气、能源及运输等行业的企业很容易成为攻击者的目标。OT 系统攻击危及业务连续性,并可能破坏关键基础设施,从而波及众多人员。

FortiEDR 是唯一可确保 OT 系统高度可用的解决方案,即使在发生安全事件或遭到攻击期间也不例外。它能够防止、检测和消除威胁,同时确保设备始终在线。与此同时,获得专利的代码跟踪技术记录取证信息,并自动进行响应和修复。FortiEDR 外形小巧,可支持并保护传统和嵌入式系统,同时不会影响系统性能。FortiEDR 能够在物理隔离环境中保护 OT 及类似系统,并提供虚拟补丁和缓解控制措施,以防止系统在非维护窗口期遭到攻击。 

 阅读解决方案简介(取证的时候,FortiEDR retains memory, snapshots and provides guidance for forensic investigations.)

 

安全 POS 系统

FortiEDR 能够有效保护销售点 (POS) 系统中的信用卡用户数据。它不仅通过了支付卡行业数据安全标准 (PCI DSS) 认证,而且能够在系统遭到攻击时防止数据泄露。此外,FortiEDR 还可提供虚拟补丁,以防止 POS 系统在非例行维护窗口期遭到漏洞威胁侵害。在例行维护窗口期对 POS 系统进行修复时,FortiEDR 也可确保其不受未知漏洞的侵害。它还支持嵌入式操作系统,占地空间小,并且不会影响系统性能(如果在IoT安全上做能力布局,这个还是比较关键的!)。  

阅读解决方案简介

 
 
 
 

FortiEDR 部署服务

Fortinet 专业服务会评估客户的当前安全运营状况,并与客户共同创建定制的安全实施计划,以确保成功和主动的运行:

  • 架构和计划
  • 部署和安装
  • 环境调优
  • 防御模式迁移
  • 项目管理
  • 技术培训 

FortiResponder 托管检测与响应 (MDR) 服务

FortiResponder 托管检测与响应 (MDR) 服务专为 FortiEDR 高级端点安全平台客户设计。FortiResponder MDR 服务为组织提供 24x7 全天候连续威胁监控、警报分类和事件处理服务,均由经验丰富的安全分析师和平台来完成。Fortinet 专家将审查和分析每个警报,基于风险状况采取措施以确保客户环境安全,并为事件响应者和 IT 管理员提供详细的修复和后续行动建议。FortiResponder MDR 服务有助于扩展当前运营规模,并进一步提高 SOC 成熟度。它提供:

  • 24x7 全天候威胁监控和响应
  • 警报分类及引导响应。FortiResponder MDR 团队作为高级 SOC 分析师,壮大了客户的 SOC 团队
  • 提供修复指导,包括远程修复和回滚
  • 基于风险状况,为每个分类事件提供行动方案
  • 环境管理和 MDR
  • 季度安全环境审查

阅读解决方案简介

FortiResponder 取证和事件响应服务

FortiResponder 取证和事件响应服务可协助客户分析、响应、隔离和修复安全事件,以缩短解决时间,从而降低对企业的总体影响。除了为 FortiEDR 客户(无论是否已订阅 FortiResponder MDR 服务)提供服务外,FortiResponder 取证和事件响应服务还可以帮助未部署 FortiEDR 的组织调查特定事件或漏洞。

 

我们的客户在 Gartner Peer Insights 评论中高度肯定了 FortiEDR(以前称为 enSilo)的价值

许多企业客户都已认识到 FortiEDR(以前称为 enSilo)的高效性,并在 Gartner Peer Insights 中给予了积极反馈。下面是最终用户对 FortiEDR 的评价。

★★★★★
"在我 15 年的职业生涯中,EnSilo 是第一款让我认为我们有机会胜出的产品。"

金融行业首席信息安全官

“EnSilo 在各个方面都很高效。这款代理产品几乎不会产生任何成本,而且管理界面提供的信息非常详细,无需再进行搜索,最重要的是,它能够在拦截威胁时将对用户的影响降至最低。”


★★★★★
"在与恶意攻击者的博弈中重获优势"

制造业高级安全分析师

"从销售到部署再到支持,enSilo 全球团队始终为我们提供支持,使我们在与攻击者的博弈中重获优势。"

"enSilo 能够有效防范零日攻击。将可疑活动表从“选择退出”更改为“选择加入”,即在完成活动分析之前,拦截可疑活动。."


★★★★★
"易于使用,不仅能够减少恶意攻击,而且不会对生产产生负面影响。"

其他行业 IT 主管

"这款工具业经精心设计,易于使用,有助于缓解网络风险。该产品可提供出色的高级防护,并将误报率降至最低,从而提升了业务技术的安全性和有效性。"


★★★★★
"POC 期间,比其他 EDR 更快速高效"

制造业安全风险管理人员

"enSilo 只需大约 3 分钟便可完成事件分类,而我们的上一款厂商产品则需要长达 30 分钟。并且,它通过将异常情况内置到主用户界面中,并将所有功能集成到单个管理平台中,简化了初始调优。"

"从产品角度来看,EDR 工具在事件分类和得出结论方面具有显著的时间优势。这款工具的准确率极高,专业服务更是锦上添花。他们的专业服务人员始终与您并肩解决问题,能够为您提供完善的解决方案。"


★★★★★
"部署简单,服务出色!"

制造业企业开发/运营主管

"部署 enSilo 之后,我们释放出了大量内部资源来处理大型项目,同时为我们的企业提供了出色的恶意软件防护。"

"监控服务超棒! 他们提供主动监控服务,并且在消除所有误报后,才会向内部团队上报警报。"
 

★★★★★
"迄今我最青睐的企业端点安全应用"

服务业安全分析师

"enSilo 端点安全应用易于使用,并且十分高效。"


★★★★★
占地面积小,但恶意软件防护和取证功能强大"

制造业安全架构师

"外形小巧的轻量级产品。enSilo 具有复杂的检测和预防机制,能够提供对整个恶意软件攻击链的洞察。快速提供支持和响应客户请求、支持快速开发 "

"即使设备已经遭到感染,该产品仍然可以防止设备遭到破坏。不妨通过 PoC 了解一下。"

posted @ 2021-08-02 21:21  bonelee  阅读(1211)  评论(0编辑  收藏  举报