Сертификат AM Test Lab
Номер сертификата: 306
Дата выдачи: 24.09.2020
Срок действия: 24.09.2025
- Введение
- Функциональные возможности ESET Enterprise Inspector
- Архитектура ESET Enterprise Inspector
- Системные требования ESET Enterprise Inspector
- 4.1. Требования к аппаратному обеспечению для сервера Enterprise Inspector
- 4.2. Требования к программному обеспечению для сервера Enterprise Inspector
- 4.3. Требования к программному обеспечению для агента Enterprise Inspector
- Развёртывание и базовая настройка Enterprise Inspector. Сервер и агенты
- 5.1. Развёртывание серверной части Enterprise Inspector
- 5.2. Развёртывание и подключение агента Enterprise Inspector
- 5.3. Работа с интерфейсом Enterprise Inspector
- 5.4. Правила обнаружения кибератак
- Сценарии использования ESET Enterprise Inspector
- 6.1. Сценарий 1. Ловим сканер NMap с модулем NSE (скриптовое ядро)
- 6.2. Сценарий 2. Обнаруживаем и блокируем mimikatz
- Выводы
Введение
По данным аналитического агентства Technavio, рынок средств класса EDR будет расти в течение 2020—2024 годов и увеличится на 7,67 млрд долларов США (рис. 1).
Трансформация и рост рынка вызваны увеличивающимся интересом злоумышленников к конечным устройствам как одному из векторов атак на организации. В том числе количество нападений выросло из-за пандемии и перехода сотрудников на удалённую работу; при этом пользователи чаще всего не были готовы противостоять фишинговым письмам, атакам через средства удалённого доступа и т. д.
Рисунок 1. Рост рынка EDR в период с 2020 по 2024 годы
Также ранее отмечались тенденции роста применительно к полнофункциональным решениям EDR, дополняющим линейки разных производителей платформ защиты конечных точек (Endpoint Protection Platform, EPP). Такие платформы присутствуют в инфраструктуре крупных организаций и неплохо защищают от массовых атак, но по большей части ориентированы на уже известные, ранее встречавшиеся вредоносные программы и атаки.
В свою очередь, тактики и приёмы киберпреступников постоянно дорабатываются и изменяются, уходят от массовых нападений в сторону целевых, которые сложнее выявлять при помощи традиционного инструментария EPP. Поэтому разработчики средств защиты, стремясь соответствовать запросам рынка, обновляют линейки своих решений и активно развивают средства класса EDR, внедряя новые, инновационные подходы (обнаружение и реагирование на комплексные атаки на конечных устройствах).
В большинстве случаев для систем класса EPP основой является антивирусное ядро, которое работает по сигнатурам и занимается блокировкой уже фактически свершившегося инцидента; для EDR оно служит одним из компонентов, ориентированных на обнаружение сложных угроз в комплексе с другими детектирующими механизмами, такими как IoC-сканирование, YARA-правила, песочница (поддерживают не все производители), доступ к данным киберразведки (Threat Intelligence).
Компания ESET — международный разработчик антивирусных решений для дома и бизнеса — недавно улучшила свою систему Enterprise Inspector, относящуюся к классу EDR. Посмотрим внимательнее на обновлённый продукт.
Функциональные возможности ESET Enterprise Inspector
Забегая немного вперёд, можно отметить, что Enterprise Inspector реализует всю необходимую функциональность решений класса EDR. Являясь значимым инструментом оценки и обнаружения следов кибератак, ESET Enterprise Inspector представляет собой комплексную систему, которая обеспечивает обнаружение инцидентов (через контроль всех видов активности с возможностью своевременно обнаруживать целевые атаки), управление инцидентами и реагирование на них (можно использовать встроенный набор правил или создавать собственные правила для реагирования на обнаруженные события; руководство по правилам доступно в разделе «Справка» веб-консоли Enterprise Inspector), сбор данных (Enterprise Inspector определяет, когда и кем исполняемый файл был запущен в первый раз, фиксирует время первой попытки атаки и дальнейшие шаги, предпринимаемые киберпреступником).
Продукт использует индикаторы компрометации (IoC), выполняет обнаружение аномалий и мониторинг поведения процессов— контролирует активность на конечных точках сети, фиксирует изменения файлов, запись в реестр, сетевые подключения. Операции оцениваются через репутационную систему ESET LiveGrid, в которой содержится информация о ранее выявленных случаях применения в атаке тех или иных процессов (исполняемых файлов). Следует также отметить возможность создавать политики для блокировки выполнения вредоносных исполняемых файлов на любом компьютере в сети организации и отправку уведомлений по электронной почте сотрудникам службы ИБ.
Ниже перечислены функциональные возможности версии 1.4, которую мы изучили в ходе подготовки обзора.
- Поддержка macOS агентом Enterprise Inspector.
- Публичный REST API.
- Изменения в веб-консоли:
- поддержка 2FA для входа в веб-консоль Enterprise Inspector,
- маркировка (тегирование) объектов для упрощения работы с ними,
- новая панель фильтров,
- улучшение поиска: переименование, всплывающие подсказки, поиск процессов,
- возможность настроить порядок выводимой информации в интерфейсе,
- автоматическая обработка событий, подпадающих под правила исключения.
- Возможности обнаружения:
- мониторинг учётных записей пользователей,
- возможность работы с WMI,
- видимость сценариев, выполняемых PowerShell, CScript, WScript и Microsoft Office,
- мониторинг сброса учётных данных,
- мониторинг DNS-запросов,
- отслеживание слабых хеш-функций SHA-256 и MD5.
- Улучшенные возможности:
- сетевая изоляция конечных точек (исключает возможность общения заражённых узлов с остальными ресурсами по сети),
- терминал (удалённый интерфейс PowerShell),
- возможность автоматического блокирования по хешу,
- необходимые внутренние изменения для совместимости с предстоящими сборками ОС Windows, которые будут выпущены в первом полугодии 2021 года,
- улучшение производительности и масштабирования.
Архитектура ESET Enterprise Inspector
Enterprise Inspector построен на основе продуктов ESET для защиты конечных точек и имеет открытую архитектуру, благодаря чему достигаются прозрачность в использовании и гибкие возможности по интеграции в инфраструктуру организации. Если говорить о месте Enterprise Inspector в экосистеме продуктов ESET, то стоит отметить тесную взаимосвязь и взаимозависимость между ними, что обеспечивает перекрёстный охват всех объектов сети.
Рисунок 2. Место Enterprise Inspector в ландшафте продуктов ESET
Подобная архитектура решения позволяет противодействовать бесфайловым методам взлома и целевым атакам (APT), проактивно блокировать угрозы «нулевого дня» и защищаться от программ-вымогателей. Кроме проактивного поиска угроз возможен и ретроспективный анализ вкупе с контролем политик безопасности организации в отношении используемого ПО (облачные хранилища, Tor, игры и др.) с функциональностью по удалённой блокировке нежелательных процессов и программ.
Рисунок 3. Интерфейс Enterprise Inspector
Enterprise Inspector состоит из серверной части и агентов, которые устанавливаются на удалённые узлы с целью сбора информации и обеспечения работы административных функций.
Ранее было отмечено, что Enterprise Inspector тесно взаимосвязан с остальными решениями вендора, поэтому важно знать о возможности дистанционно разворачивать агенты через ESET Security Management Center, который помимо этого обеспечивает полный контроль продуктов по безопасности от ESET, внедрённых в организации.
Системные требования ESET Enterprise Inspector
Перед развёртыванием стоит подробно изучить системные требования, в том числе — к стороннему ПО, которое используется в работе. Без соблюдения требований запуск основных компонентов Enterprise Inspector будет невозможен (не удастся даже просто установить серверную и клиентскую часть продукта). Подобный подход сводит к минимуму возможность что-либо не учесть при развёртывании и потом долго думать, в чём же состоит причина некорректной работы решения.
Требования к аппаратному обеспечению для сервера Enterprise Inspector
В целом требования к аппаратной части находятся на уровне схожих решений в сегменте EDR.
Таблица 1. Требования к аппаратному обеспечению
Характеристики | Минимальные требования | ||
Количество конечных устройств | 500 | 1000 | 5000 (Microsoft SQL Server) / 18000 (MySQL) |
Оперативная память | 24 ГБ | 48 ГБ | 256 ГБ |
Дисковое пространство | 500 ГБ | 1 ТБ | 5 ТБ |
Количество операций ввода / вывода (IOPS) | 1000 | 2000 | 5000 |
Количество ядер ЦП | 4 | 8 | 16 |
Если в случае с оперативной памятью, количеством ядер ЦП и дисковым пространством всё вполне понятно, то в части возможностей жёсткого диска рекомендуется измерить IOPS с помощью утилиты diskspd:
diskspd -b32K -d60 -o4 -t8 -h -r -w65 -L -Z1G -c20G C:\iotest.dat > C:\DiskSpeedResults.txt
Требования к программному обеспечению для сервера Enterprise Inspector
Сервер Enterprise Inspector поддерживает только ОС Windows Server. В качестве СУБД можно использовать MySQL и Microsoft SQL Server. Для корректной работы веб-консоли рекомендуется установить новейшую из поддерживаемых версий браузеров.
Таблица 2. Программное окружение для серверной части Enterprise Inspector
Тип ПО | Наименование и версия ПО | Комментарии |
Операционная система | Windows Server 2012 или более поздняя версия | Для Windows Server 2012 R2 требуется накопительный пакет обновлений за апрель 2014 года (KB2919355) |
СУБД |
| |
Продукты ESET | ESET Security Management Center (ESMC) 7.0 или новее | ESMC рекомендуется устанавливать на отдельном от Enterprise Inspector сервере |
Вспомогательные компоненты (драйверы, обновления ОС и т. д.) |
| |
Совместимые веб-браузеры |
| Начиная с версии 1.3 Enterprise Inspector не поддерживает Microsoft Edge и Internet Explorer |
Требования к программному обеспечению для агента Enterprise Inspector
Установка агента Enterprise Inspector требует меньше вспомогательного ПО, но и здесь перед развёртыванием всё должно быть установлено и настроено.
Таблица 3. Программное окружение для клиентской части Enterprise Inspector
Тип ПО | Наименование и версия ПО | Комментарии |
Для пользовательских АРМ | ||
Операционная система |
| |
Продукты ESET |
| Для связи агентов необходимо настроить SSL / TLS |
Вспомогательные компоненты (драйверы, обновления ОС и т. д.) | При использовании Windows 7 должен быть установлен Service Pack 1 | |
Для серверов | ||
Операционная система | Windows Server 2008 R2 SP1 (64-битная) или новее | |
Продукты ESET | Лицензирование: ESMC Management Agent (для возможности централизованной активации лицензии) Защита конечных устройств:
| Решение для защиты конечных устройств выбирается в зависимости от назначения и настроек сервера (выбирается какое-то одно из списка) |
Вспомогательные компоненты (драйверы, обновления ОС и т. д.) | При использовании Windows Server 2008 R2 должен быть установлен Service Pack 1 |
Из этого раздела мы узнали, какие именно программные и аппаратные требования предъявляются к Enterprise Inspector. Их крайне важно учитывать для корректной работы в производственной среде.
Развёртывание и базовая настройка Enterprise Inspector. Сервер и агенты
Развернуть компоненты Enterprise Inspector можно разными способами: используя графический интерфейс или командную строку, а также централизованно через ESMC.
Мы рассмотрим развёртывание с помощью графического интерфейса, а основные функциональные возможности и практические сценарии будем реализовывать через веб-консоль.
Развёртывание серверной части Enterprise Inspector
Говоря о развёртывании, в рамках обзора будем подразумевать наличие в инфраструктуре ESMC и СУБД, а также их доступность по сети. Также в процессе демонстрации установки, настроек и возможностей Enterprise Inspector мы будем переключаться между интерфейсами ESMC и Enterprise Inspector.
Процедура развёртывания с помощью графического интерфейса вполне проста, поэтому часть шагов будет пропущена (подробнее об развёртывании можно прочитать в документации). Стоит обратить внимание: если даже что-то из дополнительных компонентов не было установлено, для облегчения процесса в окне инсталлятора будут даны подсказки по требуемому программному окружению.
По завершении развёртывания можно проверить работоспособность Enterprise Inspector и подключиться к веб-консоли. В качестве логина и пароля будут использоваться учётные данные от ESMC.
Рисунок 4. Главная страница Enterprise Inspector
Также Enterprise Inspector должен стать доступен в ESET Security Management Center (рис. 5).
Рисунок 5. Веб-консоль ESMC
Развернув сервер Enterprise Inspector, перейдём к установке и настройке агентов.
Развёртывание и подключение агента Enterprise Inspector
Придерживаясь концепции EDR, нам нужно установить агенты Enterprise Inspector на каждой машине, где мы хотим собирать журналы событий.
Подготовим программное окружение и установим:
- ESET Endpoint Security 7.0.2100.1 или новее,
- ESMC Management Agent,
- Enterprise Inspector Agent.
После установки агента необходимо произвести его активацию через центр управления ESMC.
Внесём в ESMC лицензию для Enterprise Inspector.
Примечание: на рисунках будут по мере необходимости выделяться и нумероваться блоки интерфейса. Цифры рядом с блоками означают последовательность открытия элементов либо просто предназначены для прослеживания логической цепочки (на какие части нужно обратить внимание сперва, а на какие — позже).
Рисунок 6. Добавление лицензии для Enterprise Inspector в центр лицензирования ESMC
После успешного добавления лицензии на Enterprise Inspector мы переходим в раздел ESMC «Задачи» и создаём клиентскую задачу на активацию агентов. При этом можно указывать пул рабочих машин и серверов с агентами для одновременной активации.
Рисунок 7. Создание клиентской задачи по активации агентов Enterprise Inspector. Шаг 1
На втором шаге создания клиентской задачи необходимо ввести описание, фактически не влияющее на исполнение.
Рисунок 8. Создание клиентской задачи по активации агентов Enterprise Inspector. Шаг 2
Как видно, в самой задаче не указываются адреса компьютеров, где установлены агенты; нет также сведений о том, когда она должна сработать. Всё это задаётся через триггеры, что, несомненно, удобно.
Рисунок 9. Добавление триггера на клиентскую задачу по активации агентов Enterprise Inspector
В триггерах можно указать причину срабатывания задачи, когда она может быть запущена и т. п. В нашем случае запуск требовался немедленно после создания задачи. Таким образом мы сразу активировали только что развёрнутые агенты.
Работа с интерфейсом Enterprise Inspector
Веб-консоль Enterprise Inspector доступна с любого устройства с совместимым веб-браузером. Интерфейс Enterprise Inspector минималистичен, но содержит достаточное количество информации для комфортной работы.
Меню представляет список основных разделов интерфейса ESET Enterprise Inspector:
- «Панель мониторинга» — краткий обзор состояния узлов, связанных с ESET Enterprise Inspector. Показывает временные рамки сигналов тревоги (на основе их значимости) и сообщает, находится ли сеть организации под потенциальной / реализуемой атакой.
- «Компьютеры» — структура компании, синхронизированная с ESMC, и сведения о каждом устройстве.
- «Обнаружения» — индикаторы и визуализация найденных событий.
- «Поиск» — раздел, позволяющий отфильтровать по определённым (базовым) параметрам обнаруженные события либо подготовить расширенные (пользовательские) фильтры.
- «Исполняемые файлы» — полное хранилище всех обнаруженных исполняемых объектов и библиотек DLL в сети организации на компьютерах, контролируемых ESET Enterprise Inspector.
- «Сценарии» — обеспечивает детальную видимость всех сценариев, которые были выполнены в сети организации, показывает подробную информацию о том, какие изменения были сделаны, и сообщает, вызвал ли какой-то из сценариев определённый сигнал тревоги на основе поведенческого анализа.
- «Админ» — используется для управления правилами и добавления хешей, которые инженеры безопасности хотят заблокировать в своей сети. Вы можете запускать задачи для произошедших событий, создавать исключения для процессов и настраивать параметры сервера Enterprise Inspector.
Рисунок 10. Основное меню Enterprise Inspector
Правила обнаружения кибератак
Правила обнаружения уведомляют о подозрительных событиях и изменениях на конечных устройствах. Например: был запущен mimikatz для сбора хешей паролей и учётных данных, запущен процесс шифрования и удаления файлов, обнаружена попытка проверки на наличие уязвимостей на открытых портах из внешней сети (сканирование NMap).
Рисунок 11. Правила детектирования в разделе «Админ» Enterprise Inspector
В описании правил содержатся не только сведения общего характера, но и практически полезные ссылки на MITRE ATT&CK (рис. 12), что позволяет определить, на каком этапе атаки находится киберпреступник.
Правила обладают следующими характеристиками: имя, уровень значимости («Угроза», «Предупреждение», «Информация»), параметр «Только чтение» (означает, что редактирование данного правила запрещено), статус (включено — выключено), тело правила (описание того, при каких условиях и когда оно должно сработать).
Рисунок 12. Подробная информация о правилах в разделе «Админ» Enterprise Inspector
В Enterprise Inspector есть набор предустановленных правил. Некоторые из них нельзя изменять, но при желании владелец решения может поручить написать правила обнаружения своим сотрудникам из службы ИБ. Синтаксис правил основан на языке XML.
Рисунок 13. Синтаксис правил обнаружения и правила их написания в Enterprise Inspector
Сценарии использования ESET Enterprise Inspector
Организациям важно обеспечивать прозрачность сети для оперативного пресечения киберугроз, потенциально опасных действий сотрудников и работы нежелательных приложений. Проверим, что умеет Enterprise Inspector версии 1.4 в части проактивного поиска угроз.
Сценарий 1. Ловим сканер NMap с модулем NSE (скриптовое ядро)
Начнём со сценария обнаружения популярного сетевого сканера NMap, который имеет в своём арсенале механизм запуска сценариев, позволяющий проводить атаки или проверку наличия различных уязвимостей.
Ниже на рисунке продемонстрирован результат работы NMap с атакой на RDP. Видно, что узел доступен, но результат работы скрипта малоинформативен, так как на стороне атакуемой машины, скорее всего, установлены средства защиты и обнаружения атак. Посмотрим в веб-консоль Enterprise Inspector.
Рисунок 14. Сканирование с помощью NMap рабочей станции с агентом Enterprise Inspector
В разделе «Обнаружения» среди перечисленных ИБ-событий мы видим попытку подключения к RDP. В результате работы средств защиты ESET и агентов, которые детектируют попытки проведения атак, можно своевременно обнаруживать и пресекать различные виды вредоносной активности.
Рисунок 15. Результат обнаружения сканирования NMap
Более того, возможно детально разобрать событие, что поможет исключить ложные срабатывания.
Рисунок 16. Подробная информация о потенциальном инциденте по безопасности
Инженеры ИБ могут отследить взаимосвязанные процессы, открыв раздел «Исполняемые файлы».
Рисунок 17. Взаимосвязанные с подозрительной активностью процессы
Проанализировав данное событие, можно сказать, что степень риска — средняя; репутационный сервис ESET LiveGrid помогает понять, насколько часто таким образом может происходить атака (уровень репутации данного процесса находится в зелёной зоне).
Сценарий 2. Обнаруживаем и блокируем mimikatz
В случае c Windows-инфраструктурой есть риск столкнуться с попыткой украсть пароли пользователей или администратора домена при помощи mimikatz — инструмента, который реализует функциональность Windows Credentials Editor и позволяет извлечь аутентификационные данные вошедшего в систему пользователя в открытом виде.
Рисунок 18. Имитация атаки с помощью mimikatz
Сымитируем вредоносную активность, выполнив ряд команд в консоли mimikatz. Исполняемый файл mimikatz может быть легко модифицирован, что позволит обойти стандартные средства защиты, но решения класса EDR не так просто обмануть.
Переходим в панель мониторинга Enterprise Inspector и видим в разделе необработанных случаев подозрительной активности процесс, похожий на mimikatz. Открываем двойным щелчком по этому событию раздел «Обнаружения».
Рисунок 19. Панель мониторинга Enterprise Inspector с обнаруженными событиями
Видим два события; щёлкнув на более свежем правой кнопкой мыши, открываем детальную информацию по нему.
Рисунок 20. Детальная информация по событию
Раздел с детальными сведениями знаком нам по предыдущему сценарию, однако кроме полезной для изучения событий информации здесь есть возможность немедленно принять активные меры. Инженер службы ИБ может завершить процесс (5) или выполнить по отношению к нему другое активное действие (6). Выберем именно этот пункт.
Рисунок 21. Возможность блокировки и ликвидации вредоносного процесса
Он более интересен, нежели простое прекращение работы процесса, так как мы заблокируем вредоносный объект по хеш-сумме и переместим его в карантин.
Рисунок 22. Блокировка по хешу, очистка и перемещение в карантин вредоносного файла
Чтобы убедиться в том, что нежелательный файл перемещён в карантин, перейдём в папку, где он находился. Файла действительно больше нет. Кроме того, даже если позже попытаться запустить его копию, результат будет отрицательным.
Рисунок 23. Папка, в которой был вредоносный файл mimikatz
Дополнительно информация обо всех событиях передаётся из Enterprise Inspector в единый центр управления ESMC. В этом можно убедиться перейдя в веб-консоль ESMC.
Рисунок 24. Информация по обнаруженным и обработанным событиям из области безопасности
Выводы
Популярность (и, соответственно, рынок) решений класса EDR растёт. Судя по прогнозам аналитических центров, этот рост будет продолжаться в силу всё большего распространения атак через конечные устройства — рабочие станции и серверы.
Традиционный подход EPP уже недостаточен для надёжного обеспечения безопасности рабочих станций, всем нужна расширенная защита — уровня EDR — от сложных и целевых атак. ESET, имея для этого подходящие возможности и технологическую базу, вносит вклад в развитие рынка EDR через обновление своих решений, позволяющих создавать комплексную и сложную, но при этом взаимосвязанную инфраструктуру средств защиты.
Новая версия Enterprise Inspector в процессе изучения показала себя с хорошей стороны. Новая функциональность упрощает работу, даёт больше возможностей и расширяет фронт обнаружения атак (добавлен агент для macOS). Удобным и полезным оказался модуль визуализации данных, который не просто отображает красивые графики, а показывает цепочку связанных процессов, породивших ту или иную активность, что, несомненно, упрощает работу с инцидентами в процессе расследования.
Первое впечатление было неоднозначным, но в процессе работы то, что сначала виделось сложным — а именно процедура развёртывания, — на деле оказалось хорошо продуманным шагом в части исключения возможности забыть установить какой-то из компонентов и долго думать, что же пошло не так.
Достоинства:
- Открытая архитектура и публичный REST API, позволяющие проводить интеграцию с SIEM, SOAR, информационными панелями и другими инструментами.
- Настраиваемая чувствительность. Для исключения ложных срабатываний можно настроить правила под разные группы с учётом их специфических параметров.
- Ретроспективный поиск угроз, в том числе и по базе данных событий, за счёт чего достигается выявление динамически изменяющихся IoC по нескольким параметрам.
- Синхронное реагирование. Enterprise Inspector создаёт комплексную экосистему, которая перекрёстно связывает объекты сети и синхронизирует устранение инцидентов.
- Двухфакторная аутентификация с защитой доступа к веб-консоли при помощи ESET Secure Authentication.
- Мультиплатформенность (поддержка Windows и macOS).
- Использование MITRE ATT&CK — глобальной базы знаний, которая предоставляет подробную информацию о сложных угрозах и позволяет отследить, на каком этапе атаки находится злоумышленник.
- Удалённый доступ для специалиста по ИБ с возможностью открыть интерфейс PowerShell и не мешая работе пользователя устранить проблему.
Недостатки:
- Продукт не сертифицирован ФСТЭК России.
- Нет агента для Linux.
- Руководство пользователя — только на английском языке (в процессе перевода).
- Много зависимостей и требований к дополнительному ПО, необходимому для развёртывания Enterprise Inspector.