PT XDR представляет собой систему класса XDR (Extended Detection and Response, расширенное обнаружение киберинцидентов и реагирование на них). Предлагает больше возможностей для выявления и отработки атак.
Во-первых, он помогает обнаруживать инциденты и реагировать на них в автоматическом или ручном режиме. Полезен на всех основных этапах обработки инцидентов:
- Подготовка (Preparation): PT XDR умеет собирать инвентаризационные и конфигурационные данные об узлах, которые затем передаются в MaxPatrol VM (при его наличии) для расчёта уязвимостей на конечных точках. Снижение количества уязвимостей и ошибок конфигурации помогает сократить количество потенциальных инцидентов в организации и затруднить злоумышленнику перемещение по инфраструктуре.
- Обнаружение инцидента и анализ произошедшего (Identification): PT XDR собирает телеметрию, обогащает её дополнительным контекстом, выявляет угрозы с помощью корреляционного ядра на агенте, обеспечивает дополнительный анализ файлов и процессов с помощью YARA-сканирований (в том числе с помощью пользовательских правил) и репутационных данных.
- Сдерживание атакующего и локализация инцидента (Containment): агент XDR может частично или полностью изолировать узел, завершить подозрительные и вредоносные процессы.
- Устранение последствий (Eradication): PT XDR позволяет удалить вредоносные файлы, вычистить инструменты закрепления из автозагрузки, заблокировать учётные записи.
Восстановление систем после инцидента (Recovery): с помощью PT XDR можно удалённо управлять системами, на которые установлен агент. PT XDR предоставляет возможность выполнения произвольных консольных команд на агенте, этот механизм может применяться как на этапах восстановления, так для реагирования в настоящем времени (Live Response).