Funzionalità EDR

Endpoint Detection and Response (EDR) include le funzionalità seguenti:

Ricezione di notifiche di avviso in caso di violazione
Gestione dei problemi nella pagina Problemi
Visualizzazione intuitiva della sequenza di attacco
Consigli e raccomandazioni di correzione
Verifica degli attacchi resi pubblici ai workload utilizzando i feed sulle minacce
Dashboard con panoramica rapida
Monitoraggio esteso
Archiviazione degli eventi di sicurezza per 180 giorni

Ricezione di notifiche di avviso in caso di violazione

EDR fornisce notifiche di avviso ogni volta che registra un problema. Tali avvisi vengono evidenziati nel menu principale della console di Cyber Protect. È possibile indagare su un avviso facendo clic sul pulsante Indagine sul problema, che reindirizza l'utente alla schermata di indagine, anche detta sequenza della catena di attacco.

Per ulteriori informazioni, consultare Analisi riepilogativa dei problemi.

Gestione dei problemi nella pagina Problemi

EDR consente di gestire tutti gli incidenti registrati nella pagina Problemi, a cui è possibile accedere dal menu Protezione nella console di Cyber Protect. Alle informazioni presenti nella pagina Problemi è possibile applicare i filtri necessari, in modo da comprendere in modo semplificato e rapido lo stato attuale del problema, con informazioni sulla gravità, sui workload interessati e sul livello di positività. Inoltre, è possibile aprire direttamente la sequenza di attacco e visualizzare le varie fasi dell'attacco nodo per nodo.

Per ulteriori informazioni sulla pagina Problemi, consultare Analisi riepilogativa dei problemi.

Visualizzazione intuitiva della sequenza di attacco

EDR fornisce una rappresentazione visiva di un attacco in un formato chiaro e facilmente leggibile. In questo modo, anche il personale non esperto in sicurezza può comprendere gli obiettivi e la gravità di qualsiasi attacco. Non è quindi necessario disporre dei servizi di un centro operativo di sicurezza (SOC) né di assumere esperti in sicurezza, perché EDR indica in dettaglio come si è verificato un attacco e offre anche informazioni su:

In che modo l'attaccante si è infiltrato
In che modo l'attaccante ha nascosto le proprie tracce
Che danni ha causato
In che modo l'attacco si è diffuso

Per ulteriori informazioni, consultare Come indagare sui problemi rilevati nella sequenza di attacco.

Consigli e raccomandazioni di correzione

EDR offre modalità chiare e facili per adottare i consigli dati per risolvere gli attacchi a un workload. Per risolvere rapidamente un attacco, fare clic sul pulsante Correggi intero problema per visualizzare e seguire i passaggi consigliati per ridurre al minimo le conseguenze dell'evento. I passaggi consentono di riprendere rapidamente il controllo e riavviare le operazioni in caso di attacco. Se, tuttavia, si desidera mettere in atto azioni di correzione più dettagliate, è possibile aprire ciascun nodo e applicare l'azione più adatta a ognuno.

È inoltre possibile fare clic su Copilot per avviare lo strumento di chat assistito da AI Copilot, che consente di inserire più richieste e ricevere azioni di risposta suggerite per il problema selezionato.

Per ulteriori informazioni, consultare Correzione dei problemi.

Verifica degli attacchi resi pubblici ai workload utilizzando i feed sulle minacce

EDR prevede la capacità di esaminare gli attacchi noti esistenti nel feed sulle minacce a fronte dei workload. I feed sulle minacce vengono generati automaticamente in base ai dati sulle minacce ricevuti dai centri operativi di Cyber Protection (CPOC); EDR consente di verificare se una minaccia sta interessando il workload e di intraprendere quindi le azioni necessarie per neutralizzarla.

Per ulteriori informazioni, consultare Controllare la presenza di indicatori di compromissione di attacchi pubblicamente noti nei workload.

Dashboard con panoramica rapida

EDR offre una vasta gamma di statistiche, reperibili nella dashboard della console di Cyber Protect. Tali statistiche mostrano, tra gli altri dati:

Lo stato attuale della minaccia, incluso il numero di problemi sui quali è necessario indagare.
L'evoluzione degli attacchi in base alla loro gravità, e la presenza di possibili campagne di attacco.
Il tasso di efficienza nella chiusura dei problemi.
Le tattiche più utilizzate per attaccare i clienti.
Lo stato della rete del workload, ovvero se il workload è isolato o connesso.

Monitoraggio esteso

Su sistemi Windows e Linux, EDR può raccogliere dati sugli eventi continuamente, anche quando non ci sono rilevamenti particolari.

Il monitoraggio esteso consuma risorse CPU aggiuntive sul workload protetto, quindi è consigliabile verificare le sue prestazioni dopo aver abilitato la funzionalità. A seconda del numero di eventi raccolti, potrebbe anche aumentare la larghezza di banda utilizzata per la comunicazione con il data center.

Archiviazione degli eventi di sicurezza per 180 giorni

EDR raccoglie gli eventi inerenti ai workload e alle applicazioni e li archivia per 180 giorni. Gli eventi con data precedente al periodo di 180 giorni vengono eliminati (l'eliminazione dell'evento si basa sull'età e non sullo spazio di storage). Tenere presente che se anche EDR viene disattivato, tutti gli eventi precedentemente raccolti relativi a un workload vengono conservati, e restano disponibili per eventuali indagini sul problema.