Tisztelt Heimdal Ügyfelünk!
Hálózati alapú termékcsomagunk imsét bővült és jobb lett egy új modul – a Ransomware Encryption Protection – beépítésével.
Ez az új kiegészítés (amely a Heimdal Dashboard 3.3.0 RC verziójában érhető el) tovább növeli az informatikai környezet védelmét, kiegészítve a már meglévő Ransomware Encryption Protection Endpoint terméket, és teljes védelmet kínál a zsarolóvírus-támadásokkal szemben.
Az észlelési mechanizmus hasonló az Ransomware Encryption Protection Endpoint moduléhoz: Kernel eseményeket figyel (I/O olvasás és írás, könyvtár listázás és fájlvégrehajtás), ha rendellenességeket észlel, összehasonlítja a tényleges zsarolóvírus mintákkal, amennyiben ismert rosszindulatú mintát ismer fel, blokkolja azt. Ráadásul extra biztonsági intézkedésként és a továbbterjedés ("lateral movement") megelőzése érdekében az összes Microsofthoz kapcsolódó alkalmazásból kilépteti azt a felhasználói fiókot, amelynél az észlelések történtek. (pl.: ha változások történnek egy felhasználó OneDrive-ban tárolt fájljaiban, akkor ezt észleli, blokkolja az ezt kiváltó forrást, és kijelentkezteti a felhasználót).
Íme egy részletes áttekintés a Ransomware Encryption Protection hálózati modulhoz:
Heimdal Ransomware Encryption Protection hálózati modul
Ez az új modul a Ransomware Encryption Protection modul által a végpontokhoz kínált védelmet hálózati szintre emeli, kiterjesztve azt a vállalati fiókok OneDrive tárhelyére. A modul előnyeinek kihasználásához először hozzáférést kell biztosítania a Microsoft-fiókokból a Tenant ID-khoz a (ugyanaz a Tenant ID, amelyet a dashboard az Azure-bejelentkezéséhez használ). Ezt a Heimdal Dashboard, Guide részében, a “Customer settings” lapon érheti el:
A Tenant ID mentése után frissítésre van szükség az említett Tenant(ok) AD-felhasználóinak és AD-csoportjainak szinkronizálásához. A következő lépés az, hogy a Network Settings -> Ransomware Encryption Protection felületén engedélyezze Ransomware Encryption Protection –t:
Lehetőség van a “Isolate user on detection” lehetőségre is, ami azt jelenti, hogy ha riasztást küldenek bármely olyan felhasználónak, akinek OneDrive Business-fiókja van, a rendszer leválasztja a Microsofthoz kapcsolódó összes alkalmazásról, a titkosítás vagy a feltöltés megakadályozása érdekében. Ezenkívül ki kell választania egy vagy több AD-csoportot, amelyeknél figyelhetjük a végfelhasználók OneDrive-profilját. Egy új AD-csoport hozzáadása és az adott csoporthoz tartozó felhasználók összeköttetésének létrehozása között legfeljebb 30 perc időkeret szükséges (ugyanez igaz AD-csoport törlésekor is).
Amint riasztás/észlelés történik, a Heimdal Dashboard-ján, a Products -> Endpoint Detection -> Ransomware Encryption Protection, Network Detections lapon jelennek meg az ezzel kapcsolatos információk:
Ez a táblázat lehetővé teszi az adatok rendezését e-mail, időbélyeg és a felhasználó munkamenetének állapota szerint (függetlenül attól, hogy a modul kijelentkeztette-e). A keresés végrehajtható e-mailben vagy AD felhasználói csoportokban (egyelőre csak egy csoport alapján). Ezenkívül az innen származó összes adat exportálható CSV jelentésbe.
Ha segítségre van szüksége, keressen minket a [email protected] címen.
Üdvözlettel,
A Maxvalor csapat.
Az új funkciók megfelelő működésének biztosítása érdekében kérjük, törölje a böngésző cookie-jait és egyéb webhelyadatokat, valamint a gyorsítótárazott képeket és fájlokat, mielőtt kapcsolódna a Heimdal Dashboardhoz.