presentazione standard di powerpoint...introduzione agm solutions tramite il proprio soc eroga un...
TRANSCRIPT
Managed EDR
Introduzione
● AGM Solutions tramite il proprio SOC eroga un servizio di gestione degli endpoint e di ricerca proattiva delle minacce secondo la formula Managed EDR.
● Scopo del servizio consiste nell'abilitare le imprese ad un rapido rilevamento e contenimento delle minacce con un unico prerequisito, l’utilizzo di software di tipoEndpoint Detection & Response (EDR), parte integrante del servizio.
● Il servizio abilita al rilevamento e all’ analisi proattiva effettuata da analisti SOC in merito alle minacce che affliggono gli endpoint come ad esempio malware generici, ransomware, derivanti da campagne phishing, nonchè malware realizzato appositamente da parte di avversari di livello avanzato.
● Le comunicazioni relative alla gestione degli alert di sicurezza saranno tracciate tramite un sistema di ticketing, incluso nel servizio.
● Ogni settimana sarà prodotto ed inviato un Report puntuale relativo le minacce rilevate e le relative attività di contenimento e/o eradicamento intraprese dal nostro Security Operations Center.
Servizio Managed EDR - Workflow operativo & Service Window
In fase di Design, sarà condiviso col cliente un workflow operativo, finalizzato ad individuare puntualmente le rispettive responsabilità nell'ottica del rilevamento, contenimento ed eradicamento delle minacce, rilevate dalla soluzione EDR.
La finestra di servizio dovrà essere concordata a partire dalle seguenti opzioni:○ 8x5 con presidio○ 8x5 reattivo○ 12x5 con presidio○ 12x5 reattivo○ H24 con presidio○ H24 reattivo
Servizio Managed EDR - Operations
● Ogni alert rilevato sarà analizzato proattivamente da parte degli analisti SOC, compatibilmente con la Service Window di riferimento, sfruttando ogni strumento in forza a quest’ultimo, scremando i falsi positivi, già di per se bassi in funzione dell’ Intelligenza Artificiale. Qualora dovessero emergere elementi concreti, saranno prontamente notificati al cliente, tramite apposito sistema di ticketing.
● In base al workflow operativo condiviso, gli analisti SOC potranno effettuare attività di analisi, contenimento ed eradicamento delle minacce, quali la rimozione di malware anche di tipo fileless fino ad arrivare, nei casi più gravi, ad un temporaneo isolamento di una workstation infetta, in attesa di un'eventuale attività forense (opzionale).
● Attraverso un ticket, il cliente potrà richiedere, al SOC l'erogazione di attività di Cyber Threat Hunting finalizzate ad individuare eventuali minacce concentrate su determinati endpoint specificati dal cliente.
● Sarà possibile effettuare su richiesta ed in proattività la realizzazione di regole di rilevazione custom finalizzate ad individuare Indicatori di Compromissioni (IOC), in possesso del SOC (Feed di Threat Intelligence) e/o forniti dal cliente.
● Sarà possibile richiedere l’inibizione dell’esecuzione di determinati eseguibili, inclusi quelli sprovvisti di certificato digitale in corso di validità. Inoltre sarà possibile rilevare e/o contenere eventuali comportamenti specificati dal cliente, ad opera di un qualsivoglia eseguibile attraverso la realizzazione di una Detection Strategy.
Prerequisti
Servizio Managed EDR - Prerequisiti e modalità di deployment
● Requisito per l’erogazione del servizio è costituito dall’installazione di agent su workstation, server e dispositivi mobile, i quali saranno oggetto di monitoraggio da parte del SOC, secondo un deployment di tipo SaaS, IaaS o On premise.
● Per l’erogazione di tale servizio si farà leva sull’innovativa tecnologia EDR, ReaQta Hive la quale è agnostica dall'utilizzo di qualsiasi pattern predefinito, facendo leva sull’analisi comportamentale effettuata da un cuore di Intelligenza Artificiale brevettato in europa.
● Il deployment degli agent relativi tale soluzione sarà eseguito congiuntamente e potrà essere automatizzato tramite l’utilizzo di GPO oppure tool quali SCCM per quanto riguarda gli ambienti windows strutturati a dominio.
● Negli altri casi in abbinamento al pacchetto di installazione (msi) sarà fornito un semplice script al fine di automatizzare l’installazione stessa, rendendola possibile da parte di qualsiasi tipologia di utente finale.
● Completata l’installazione e condiviso il workflow operativo e la relativa service window il servizio sarà immediatamente operativo a protezione degli asset scelti dal cliente.
Sistemi operativi supportati● I sistemi operativi supportati sono:
○ Windows■ 7■ 8■ 10
○ Windows Server■ 2008 R2■ 2012■ 2016■ 2019
○ Linux■ Ubuntu 16.x■ Ubuntu 18.x■ RedHat 7.x■ Centos 7.x■ Debian 8.10
○ Mac OS■ Sierra+
○ Android■ 4.2+
Funzionalità
Classico Antivirus
Estensione delle funzionalità di detection & response con ReaQta
Technology Tour
ReaQta Hive - Interfaccia Utente - Dashboard
ReaQta Hive - Interfaccia Utente - Analisi Comportamentale
Modalità di deployment
Managed EDR - SaaS
DUAL AI ENGINE
Ogni Endpoint è basato su
NanoOS e su di un motore di
intelligenza artificiale (AI)
infrastrutturale
ReaQta-Hive
Deployment SaaS
DEPLOYMENT
PROTEZIONE PER OGNI ENDPOINT Monitoraggio attraverso un
Hypervisor live (invisibile ai
malware)
SaaS
Endpoints (Inclusi workstations, Android, servers)
HIVE AGENTS
AWS
AZURE ...
Hive Behavioural Analyzer
Hive Threat Hunting Engine
HIVE DASHBOARD
Smart Logging , massimo
12MB al giorno di dati
trasmessi al server di
management
Supporta Reti isolate, full air-
gapped.
Tutto il traffico è cifrato
* Installazione tramite
pacchetto MSI anche
centralizzata.
HIVE BRAIN
ReaQta-Hive
Deployment IaaS
DEPLOYMENT
Endpoints (Includes workstations, Android, servers)
internet
AWS
AZURE ...
HIVE BRAIN
Hive Behavioural Analyzer
Hive Threat Hunting Engine
HIVE DASHBOARD
Smart Logging
massimo 12MB
al giorno
HIVE AGENTS
IaaS
Managed EDR - IaaS
PROTEZIONE PER OGNI ENDPOINT Monitoraggio attraverso un
Hypervisor live (invisibile ai
malware)
DUAL AI ENGINEOgni Endpoint è basato su
NanoOS e su di un motore di
intelligenza artificiale (AI)
infrastrutturale
Tutto il traffico è cifrato
* Installazione tramite
pacchetto MSI anche
centralizzata.
Managed EDR - On premise
DUAL AI ENGINE
Ogni Endpoint è basato su
NanoOS e su di un motore di
intelligenza artificiale (AI)
infrastrutturale
ReaQta-Hive
Deployment On premise
DEPLOYMENT
PROTEZIONE PER OGNI ENDPOINT Monitoraggio attraverso un
Hypervisor live (invisibile ai
malware)
ON-PREMISE
Endpoints (Inclusi workstations, Android, servers)
HIVE AGENTS
AWS
AZURE ...
Hive Behavioural Analyzer
Hive Threat Hunting Engine
HIVE DASHBOARD
Smart Logging , massimo
12MB al giorno di dati
trasmessi al server di
management
Supporta Reti isolate, full air-
gapped.
Tutto il traffico è cifrato
* Installazione tramite
pacchetto MSI anche
centralizzata.
HIVE BRAIN
Via Privata Angiolo Maffucci, 3, 20158 Milano MI (Italy) | Tel. +39 02 26826722 | P.IVA: 03537390969 | email: [email protected]