Agente de endpoint

Uma tecnologia que oferece monitoramento e análise contínuos dos eventos do sistema em endpoints, como laptops de funcionários, computadores e servidores da empresa e estações de trabalho virtualizadas

Visão geral Que problemas isso resolve?Benefícios Onde é usado?

Visão geral

Um componente de software unificado instalado em dispositivos protegidos (computadores, laptops, servidores e estações de trabalho virtuais) que permite o monitoramento e a análise contínuos dos eventos do sistema, detecta ataques em estágios iniciais e simplifica a detecção de vulnerabilidades.

Principais recursos do agente

Coleta de eventos do sistema

O agente coleta localmente dados sobre eventos no dispositivo terminal e os envia aos módulos de detecção. Ao encaminhar eventos para um sistema SIEM, o agente os normaliza para reduzir a carga.

Detecção de ataques complexos em estágios iniciais

O agente realiza análises estáticas e comportamentais de ameaças utilizando um conjunto especializado de regras de correlação e regras YARA.

Impedir ações maliciosas nos nós

O agente oferece uma ampla gama de ações para respostas predefinidas e interativas no dispositivo final.

Operação autônoma

O agente pode analisar ameaças e responder automaticamente sem acesso à Internet ou comunicação com o servidor de gerenciamento, o que é fundamental para dar suporte a dispositivos e nós remotos com conectividade de rede intermitente.

Compatibilidade com uma ampla variedade de sistemas operacionais

O agente é compatível com uma ampla variedade de sistemas operacionais internacionais e específicos de cada país, incluindo Windows, Linux e macOS. Ele também pode funcionar em ambientes VDI.

Auditoria de dispositivos locais para detecção de vulnerabilidades e inventário

Um único agente coleta dados de telemetria, configuração e inventário sem a necessidade de contas com privilégios do departamento de TI. Em seguida, ele encaminha esses dados ao MaxPatrol VM para a detecção de vulnerabilidades. Mesmo que o MaxPatrol VM não seja utilizado, o agente ainda permite a criação de ativos no sistema.

Por que usar agentes de host?

Конечные устройства организации или сотрудников — популярный вектор атаки

Os dispositivos finais são um vetor de ataque comum

Os invasores utilizam o phishing, juntamente com vulnerabilidades em aplicativos e sistemas operacionais, para lançar ataques. Detectar esses eventos precocemente, antes que se espalhem pela rede, é fundamental para a resiliência cibernética da organização.

Распространение шифровальщиков, инфостилеров, вайперов, ВПО для удаленного управления

Propagação de ransomware, infostealers, wipers e RATs

Os invasores utilizam ferramentas cada vez mais sofisticadas, projetadas para contornar as defesas tradicionais baseadas no host (como antivírus e EDR). Os métodos estáticos (por exemplo, a análise de assinaturas de arquivos) já não são suficientes. Os invasores se valem de ferramentas legítimas (PowerShell, bash) para ocultar seus rastros, manter-se na rede e alcançar seus objetivos.

Специалисты ИБ и ИТ вынуждены использовать разрозненные инструменты

As equipes de segurança e de TI dependem de ferramentas fragmentadas

Alguns sistemas exigem coletores do WinEventLog, outros precisam do AuditD e alguns exigem contas adicionais para a coleta de dados. Essa fragmentação exige tempo e conhecimento especializado para a configuração, manutenção e integração com sistemas de monitoramento.

Часть устройств находится вне сети или домена, вне зоны видимости средств защиты

Alguns dispositivos estão fora da rede ou do domínio, fora do alcance da visibilidade de segurança

Os dispositivos de funcionários que trabalham remotamente ou em viagem, bem como os dispositivos não gerenciados, operam fora do alcance da visibilidade da TI e não enviam dados para sistemas SIEM ou scanners de vulnerabilidades.

Agente de endpoint da Positive Technologies

Mais do que apenas um sensor

Configuração flexível

Amplo suporte a sistemas operacionais

Módulos de entrega e instalação

Módulos de cobrança

Módulos de detecção

Módulos de resposta

Agentes nos produtos da Positive Technologies

MaxPatrol EDR

Proteção dos dispositivos de uma organização contra ataques sofisticados e direcionados. O MaxPatrol EDR oferece:

Gerenciamento centralizado de agentes
Configuração da política de monitoramento e resposta por meio do console da web
Detecção dinâmica de ameaças (análise de TTP)
Resposta automática e manual

MaxPatrol VM

Gerenciamento abrangente de vulnerabilidades:

Varredura baseada em agentes para dispositivos fora do domínio.
A varredura paralela reduz a carga do servidor e da rede.
Não são necessárias contas com privilégios, o que simplifica a colaboração entre as equipes de TI e de segurança.

MaxPatrol SIEM

Ampliação da zona de monitoramento e resposta imediata:

Monitoramento centralizado de todos os dispositivos (incluindo aqueles que não pertencem ao domínio).
Análise comportamental e estática no próprio dispositivo (mecanismos de correlação + YARA).
Ações de resposta diretamente a partir de alertas de eventos.
A normalização e a filtragem de eventos reduzem a carga do SIEM.
As equipes de segurança podem gerenciar ameaças sem a intervenção do departamento de TI (com base em políticas).

PT Sandbox

Detecção proativa de ameaças desconhecidas:

Detecção proativa de malware desconhecido distribuído pelo Telegram, navegadores ou redes P2P.
Os agentes detectam os arquivos baixados e os enviam para uma análise aprofundada.
Os resultados da análise são compartilhados entre todos os agentes para o bloqueio preventivo.

Entre em contato

Preencha o formulário, em breve um de nossos especialistas entrará em contato com você.