VSEC Vadar EDR

I. GIẢI PHÁP VSEC VADAR ENDPOINT DETECTION & RESPONSE (VADAR EDR)

Khi các mối đe dọa mạng ngày càng trở nên tinh vi hơn, việc giám sát và phân tích bảo mật theo thời gian thực là cần thiết để phát hiện và khắc phục mối đe dọa nhanh chóng. VSEC Vadar Endpoint Detection & Response  (tên thương hiệu là VSEC Vadar EDR) là hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối, để phát hiện và loại bỏ các phần mềm độc hại hoặc bất kỳ hoạt động khả nghi nào khác trên mạng. Ngoài ra nó còn liên tục theo dõi thu thập ghi lại cũng như lưu trữ và phân tích chuyên sâu để sớm phát hiện ra các hành vi đáng nghi trong hệ thống.

II. TÍNH NĂNG CHÍNH

VSEC Vadar EDR cho phép thiết lập cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ; cho phép thay đổi thời gian hệ thống; quản lý các phiên làm việc, giới hạn phiên kết nối, đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực.

VSEC Vadar EDR sử dụng giao thức mã hóa như TLS cho phép quản trị từ xa một cách an toàn.

Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu; phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

Cho phép quản lý các báo cáo, tạo mới các báo cáo theo template báo cáo, cho phép xuất các báo cáo theo định dạng  WORD, EXCEL hoặc PDF

VSEC Vadar EDR cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau: thêm luật mới, chỉnh sửa luật, tìm kiếm luật, xóa luật, kích hoạt/vô hiệu hóa luật, xuất tập luật ra tệp tin, khôi phục tập luật từ tệp tin, cập nhật tập luật được phát hành bởi nhà sản xuất. Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên, cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.

VSEC Vadar EDR cho phép quản lý và giám sát tập trung thông qua giao diện đồ họa các thông số hiệu năng sau của các thành phần tích hợp bên trong: Receiver, Parser, Indexer, Storage, Correlator.

VSEC Vadar EDR cho phép kết nối với các loại hệ thống khác như NCSC, VSEC Vadar SIEM, VSEC TI Engine để chia sẻ dữ liệu

Trong trường hợp VSEC Vadar EDR phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VSEC Vadar EDR đảm bảo dữ liệu log  và các loại cấu hình được lưu lại và không bị thay đổi trong lần khởi động kế tiếp. Đồng thời cũng đảm bảo thời gian hệ thống được đồng bộ tự động đến thời điểm hiện tại

VSEC Vadar EDR ghi nhận các log cảnh báo sinh ra bởi việc thực thi tập luật bảo vệ và các log audit hệ thống trong quá trình người dùng sử dụng hệ thống. Cho phép chuẩn hóa log theo định dạng JSON để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log. 

Quản lý log: VSEC Vadar EDR cho phép  thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log. Cho phép phân nhóm log thành các nhóm sự kiện theo các tiêu chí khác nhau. Cho phép truy xuất dữ liệu thô của log thông qua kết quả tìm kiếm và cảnh báo. Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này việc tích hợp các dữ liệu này vào VSEC Vadar SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

Tài nguyên: 

  • Agent cài trên máy chủ/máy trạm sử dụng tài nguyên tối đa, đáp ứng yêu cầu sau:
    • CPU < 20%
    • RAM < 500 MB
    • Tốc độ truyền tải qua mạng: Tốc độ nhận < 2,7 KB/s, Tốc độ gửi < 0,4 KB/s.
  • Độ phủ phát hiện tấn công: Đối với các dạng tấn công được công bố từ các nguồn công khai, EDR bảo đảm độ phủ phát hiện tấn công đáp ứng trên 85% với tỷ lệ cảnh báo đúng >= 80%.

Tính khả dụng của hệ thống: 

  • Kênh kết nối giữa agent và máy chủ EDR được mã hóa và có cơ chế xác thực;
  • Hỗ trợ triển khai theo mô hình High Availability (HA) hoặc Clustering;
  • Hỗ trợ cơ chế cân bằng tải (Load Balancing)

Phát hiện sự cố và ứng phó

  • VSEC Vadar EDR cho phép phát hiện tấn công, mã độc dựa theo thông tin địa chỉ IP, tên miền, giá trị băm và theo hành vi; cho phép quản lý cảnh báo, xem chi tiết thông tin cảnh báo, làm giàu thông tin cảnh báo
  • VSEC Vadar EDR cho phép phân tích các tiến trình đang chạy từ xa trên máy chủ/máy trạm; tìm kiếm log trên máy chủ/máy trạm
  • Chặn kết nối độc hại từ máy chủ/máy trạm bằng cách điều khiển tường lửa hệ điều hành trên máy chủ/máy trạm hoặc tường lửa được tích hợp trên EDR.

III. ƯU ĐIỂM NỔI BẬT

Phòng ngừa chủ động: Phát hiện ngay cả các phần mềm độc hại có mã đa hình và luôn tự phát triển để có hành động khắc phục phù hợp.

Thích hợp với các hệ thống mạng quy mô lớn: Các chương trình chống vi-rút truyền thống không đủ mạnh để có thể bảo mật cho các hệ thống lớn, VSEC Vadar EDR được thiết kế có thể dễ dàng thu thập và giám sát dữ liệu liên tục trên tất cả các điểm cuối này.

Khả năng tương thích và tích hợp với các công cụ bảo mật khác: Dễ dàng tích hợp với các công cụ bảo mật khác như phân tích phần mềm độc hại, network forensics, SIEM, AL về các mối đe dọa, v.v để giúp bảo mật hệ thống mạng tốt hơn. 

Quản lý và ứng phó sự cố tốt hơn và theo thời gian thực: Thu thập thông tin liên tục về dấu vết của phần mềm độc hại và các loại mối đe dọa mạng tiềm ẩn khác đối với hệ thống mạng. Dữ liệu được lưu trữ trên các điểm cuối mạng và sẽ giúp ích cho chuẩn bị các chiến lược quản lý và ứng phó với sự cố phù hợp.