ماژول Adaptive Threat Protection - شرکت مهندسی رایانه راهکار طلایی ( Golden Solution )

مروری بر حفاظت از تهدیدهای سازگار Adaptive Threat Protection (ATP) :

ATP محتوای کامپیوترهای شما را بررسی می کند و بر اساس آن تصمیم می گیرد که چه کاری انجام دهد سابقه فایلها ، قوانین و آستانه های برخورد با رخدادهای امنیتی تنظیم شده نیز در این موضوع مشارکت دارند . محافظت در برابر تهدیدهای سازگار این مزایا را فراهم می کند :

• شناسایی سریع و محافظت در برابر تهدیدات امنیتی و بدافزار.

• توانایی دانستن اینکه کدام سیستم یا دستگاه به خطر می افتد و چگونگی انتشار تهدید در محیط شما.

• توانایی پاک کردن بلادرنگ فایلهای خاص و آلوده بر اساس سوابق و معیارهای خطر شما.

• ادغام با Real Protect اسکن برای انجام تجزیه و تحلیل رفتار خودکار در ابر و در سیستم های مشتری.

• حفاظت از سرقت اعتبارنامه (CTP) از خدمات زیرسیستم محلی امنیت محلی (LSASS.exe) از هکرهای بالقوه محافظت می کند تهدیدها فرایندهایی که به طور غیرمنتظره سعی در دستیابی به پراسس Microsoft LSASS.exe برای دسترسی به گواهینامه ها را دارند ، مسدود شده و یک رویداد به McAfee ePO ارسال می شود.

• اسکن اسکریپت پیشرفته ، از جمله ادغام با Antimalware Scan Interface (AMSI).

• توانایی شناسایی روشهای حمله بدون پرونده که در آنها هیچ پرونده مخرب دائمی وجود ندارد.

• توانایی نظارت بر فرآیندهای ناشناخته و اصلاح خودکار تغییرات سیستم.

• ادغام در زمان واقعی با McAfee® Advanced Threat Defense و McAfee GTI برای ارائه ارزیابی دقیق و داده ها در مورد طبقه بندی بدافزار این یکپارچه سازی به شما امکان می دهد تا به تهدیدات پاسخ دهید و اطلاعات را در سراسر محیط خود به اشتراک بگذارید .

ویژگی های اصلی محافظت در برابر تهدید سازگار ATP

ویژگی های کلیدی ATP از سیستم های شما در برابر فایل های با اعتبار ناشناخته محافظت می کند ، الگوهای مخرب را شناسایی می کند و False Positive های کاذب را اصلاح می کند .

محافظت Protect

با مسدود کردن فایل های دارای آلودگی یا با اعتبار نامشخص با استفاده از این ویژگی های ATP از سیستم های خود محافظت کنید:

• مدیریت پرونده مبتنی بر اعتبار :

هنگام ورود فایلهای ناشناخته به محیط ، ATP هشدار می دهد. ATP می تواند به جای ارسال اطلاعات فایل برای تجزیه و تحلیل به McAfee ، بلافاصله پرونده را مسدود کند.

• ادغام با سرور TIE :

در صورت وجود ، سرور TIE اطلاعاتی را در مورد چند سیستم فیل اجرا می کند.

• Dynamic Application Containment :

به برنامه های ناشناخته اجازه می دهد تا در محفظه ای اجرا شوند ، و اقدامات آنها را محدود می کند. وقتی سیستمی برای اولین بار از فایلی استفاده می کند که اعتبار آن مشخص نیست ، ATP می تواند آن را در یک کانتینر اجرا کند. قوانین مهار برای شما اقداماتی که برنامه موجود نمی تواند انجام دهدرا تعیین می کند. Dynamic Application Containment همچنین هنگام بارگیری PE شامل فایلهای برنامه های اجرایی (Portable Executable) و DLL ها (Dynamic Link Libraries) نیز این عملیات را به همراه قوانین مهار انجام می دهد .

تشخیص Detect

با استفاده از این ویژگی های ATP الگوهای مخرب و بدافزار را در حافظه شناسایی کنید:

• Real Protect scanning :

تجزیه و تحلیل رفتار خودکار را انجام می دهد. Real Protect پرونده ها و فعالیت های مشکوک را در سیستم مشتری بازرسی می کند و با استفاده از یادگیری ماشین ، الگوهای مخرب را شناسایی می کند تکنیک. اسکن های مبتنی بر ایستگاههای کاری و ابری مبتنی بر Real Protect شامل اسکن DLL برای جلوگیری از بارگیری پرونده های PE و DLL غیرقابل اعتماد توسط پردازش های مطمئن است .

• محافظت از سرقت اعتبارنامه : از سرقت اعتبارنامه محافظت می کند. فناوری حفاظت از سرقت اعتبارنامه برای متوقف کردن حملاتی است که بطور خاص خدمات زیر سیستم (LSASS) اداره امنیت محلی را هدف قرار می دهد .

• اسکن اسکریپت پیشرفته :

ادغام با AMSI (رابط اسکن ضد نرم افزار) اسکن پیشرفته برای تهدیدات را فراهم می کند اسکریپت های غیر مبتنی بر مرورگر ، مانند PowerShell ، JavaScript و VBScript.

• قوانین ATP :

تعیین می کند که فرآیندها در یک زمینه خاص چه کاری می توانند انجام دهند و چه کاری نمی توانند انجام دهند و می تواند اعتبار را بر اساس تغییر دهد زمینه و رفتار.

تصحیح Correct

با استفاده از این ویژگی های ATP پرونده ها را پاک کرده و موارد مثبت را حذف کنید:

• پاکسازی پرونده File cleaning :

هنگامی که اعتبار فایل به آستانه مشخص شده رسید ، ATP می تواند فایل ها را پاکسازی کند.

• اصلاح پیشرفته Enhanced remediation :

اگر فرآیندی ناشناخته باشد ، اصلاح بهبود یافته رفتار آن را کنترل می کند و تمام پرونده هایی را که روند ایجاد و به صورت اختیاری ، تمام پرونده هایی را که روند تغییر می دهد یا حذف می کند. اگر یک فرآیند نظارت شده رفتار مخربی از خود نشان دهد ، بهبودی پیشرفته روند ، فرزندان و اجداد آن را متوقف می کند و تغییراتی را که ایجاد کرده است بازگرداند ، قبل از اجرای فرآیند ، سیستم را تا حد ممکن به حالت اصلی نزدیک کنید.

• استثنائات فایل های سفارشی Custom file exclusion :

اگر فایل سفارشی مورد اعتماد باشد ، اما دارای اعتبار مخرب باشد ، مسدود می شود. می توانید آن را استثنا کنید از اسکن یا تغییر اعتبار پرونده به معتبر و اجازه دهید بدون درخواست به روزرسانی پرونده DAT از مک آفی در سازمان اجرا شود .

• کاهش مثبت کاذب False positive mitigation :

اگر ATP از یک سرور TIE یا McAfee GTI بیش از یک آستانه اعتبار سابقه پیدا کند ، به طور خودکار می تواند با استفاده از محافظت در برابر تهدیدهای انطباقی یا پیشگیری از تهدید ، تشخیص مثبت کاذب را نادیده بگیرید. ◦ اگر Adaptive Threat Protection تشخیص دهد که یک تشخیص نادرست است ، آزمایشگاه های McAfee ممکن است یک منفی منتشر کند فایل Extra.DAT برای سرکوب تشخیص تا بروزرسانی محتوای بعدی.

• قوانین محافظت در برابر تهدیدهای سازگار Adaptive Threat Protection rules :

مک آفی به طور مستمر به روزرسانی قوانین مربوط به محتوای AMCore را ارائه می دهد.

• داشبورد و گزارش McAfee ePO :

نمایش فعالیت و شناسایی ، که می توانید برای تنظیم حفاظت از تهدید تطبیقی استفاده کنید تنظیمات. (سیستم های مدیریت شده سازمانی)

محافظت در برابر تهدیدهای سازگار چگونه کار می کند؟

Adaptive Threat Protection از اطلاعات محلی ، سرور TIE و McAfee GTI برای بررسی اطلاعات سابقه امنیتی فایل ها استفاده می کند تا نحوه مدیریت فایلها ها و پردازش ها در سیستم را تعیین کنید. ATP از قوانین برای هدف قرار دادن حملات زنده و بدون استفاده از فایل آلوده استفاده می کند ، ودر صورت بروز حملات. بهبودی مجدد برای بازگرداندن تغییرات ایجاد می کند .

1. (سیستم های مدیریت شده) سرپرست تنظیمات ATP را در McAfee ePO پیکربندی کرده و آن را در سیستم ایستگاههای کاری اجرا می کند.

2. کاربر فایلی را روی سیستم سرویس گیرنده اجرا می کند. Adaptive Threat Protection حافظه پنهان محلی را برای این فایل بررسی می کند.

3. اگر فایل در حافظه پنهان محلی نباشد ، ATP سرور TIE را در صورت وجود ، برای اعتبار جستجو می کند.

4. اگر این فایل در پایگاه داده سرور TIE نیست ، سرور TIE از McAfee GTI برای کسب اعتبار سوال می کند. اگر سرور TIE در دسترس نیست ، ATP از McAfee GTI برای سوابق امنیتی سوال می کند.

5- بسته به اعتبار فایل و تنظیمات ATP: فایل مجاز به اجرا است. یا فایل نیاز به پاکسازی دارد یا فایل مسدود می شود یا فایل مجاز است در یک ظرف اجرا شود. یا برای اقدام از کاربر درخواست می شود تا در این مورد تصمیم بگیرد و یا این که از قوانین محافظت در برابر تهدیدهای سازگار اقدامات مناسب را برای این شرکت تعیین می کنند روند. ATP روند ، فرزندان و اجدادش را از نظر رفتار مشکوک ، که می تواند نشانگر حمله بدون استفاده از فایل باشد ، کنترل می کند و در صورت نیاز روند را مسدود می کند. اگر سابقه فرآیند ناشناخته باشد (50) یا کمتر ، اصلاح بهبود یافته از تغییرات پشتیبانی می کند ، و اگر روند رفتار مخربی از خود نشان دهد ، دوباره برمی گردد.

6. McAfee GTI آخرین اطلاعات سابقه فایل را به سرور TIE برمی گرداند.

7. سرور TIE پایگاه داده را به روز می کند و اطلاعات سابقه به روز شده را به تمام سیستم های فعال شده با ATP ارسال می کند تا بلافاصله از محیط خود محافظت کنید

8. ATP جزئیات را ثبت کرده و در صورت مدیریت ، رویدادی را برای McAfee ePO ایجاد و ارسال می کند .

شرکت مهندسی رایانه راهکار طلایی

شرکت مهندسی رایانه راهکار طلایی

ارائه دهنده آنتی ویروس ، فایروال و خدمات تخصصی فن آوری اطلاعات

محصولات قابل استفاده در ایستگاههای کاری

محصولات سازمانی McAfee

اطلاعات بیشتر

سیستم مانیتورینگ شبکه PRTG

سیستم مدیریت و ضبط دسترسی های از راه دور PAM360

طراحی و پیاده سازی DomainController
و
ActiveDirectory