Elastic Defend - Entendendo as funcionalidades do EDR da Elastic
O Elastic Defend é uma poderosa solução de segurança desenvolvida pela Elastic, projetada para detectar, prevenir e responder a ameaças cibernéticas de maneira eficiente e em tempo real. Integrada ao Elastic Stack, essa ferramenta utiliza a coleta e a análise de grandes volumes de dados para fornecer uma visibilidade abrangente e detalhada no monitoramento de segurança.
Uma das principais vantagens do Elastic Defend é sua capacidade de identificar comportamentos anômalos e atividades suspeitas usando jobs de machine learning. Essa funcionalidade avançada permite detectar ameaças que, de outra forma, poderiam passar despercebidas por métodos tradicionais de detecção. Ao identificar padrões de comportamentos anômalos, o Elastic Defend pode alertar os profissionais de segurança sobre possíveis incidentes antes que causem danos significativos.
Não deixe de apoiar esse projeto. Como?! Quando for comprar qualquer coisa no site da Amazon, utilize o meu link de associado https://amzn.to/3WPVUPe. Ou adquirindo um desses treinamentos: Curso Java WEB Full-Stack / Formação Júnior AWS Cloud e Spring Boot REST com Angular 13 / Formação Spring Boot API Pipeline Gitaction AWS / Treinamento Viver de YouTube / Segurança em rede de computadores. Com isso, parte do valor da compra é repassado para este projeto.
Se preparando para a certificação Comptia Security+ SYO 701? Materiais de estudo com preços promocionais:
E-book CompTIA Security+ Get Certified Get Ahead: SY0–701 Study Guide — https://amzn.to/3WJEXpE
Simulados — https://www.udemy.com/course/simulados-comptia-security-sy0-701-em-ingles
Além da detecção proativa, o Elastic Defend oferece recursos robustos de resposta a incidentes permitindo que as equipes de segurança isolem ameaças, analisem rapidamente a origem e o impacto dos ataques e tomem medidas corretivas imediatas. Essa capacidade de resposta rápida é crucial para minimizar o tempo de exposição e reduzir o impacto de um ataque cibernético.
O Elastic Defend pod ser utilizado nos seguintes casos de uso:
- Prevenção de ataques complexos
- Alerta em alta fidelidade
- Detecção
- Triagem e Resposta
- Proteção workloads em serviços de cloud
- View terminal sessions
Elastic Defend - Capacidades
Pronto para uso em larga escala e em ambientes de tecnologias mistas, o Elastic Defend, quando configurado inicialmente, pode atuar com as seguintes capacidades:
- Data Collection - Realiza a coleta de eventos mas não tem nenhuma ação de prevenção.
- Next-Generation Antivirus (NGAV) - Coleta eventos de processos e possui ação de prevenção. Uma observação importante é que mesmo configurado com esse recurso, não é possível realizar um scan manual em diretórios ou arquivos em um sistema operacional. Por exemplo, clicar com o botão direito em cima de um arquivo ou diretório e pedir para fazer o scan semelhante ao que é feito com outras soluções de antivírus.
- Essential EDR (Endpoint Detection & Response) - Coleta eventos relacionados a processos, arquivos e de rede. Possui ação de prevenção.
- Complete EDR (Endpoint Detection & Response) - Coleta todos os eventos para correlação bem como possui ações de prevenção.
Recurso self-healing rollback (Autocorreção) para endpoints Windows
O recurso de autocorreção do Elastic Defend reverte alterações de arquivos em endpoints, com sistema operacional Windows, quando um alerta de prevenção é gerado por recursos de proteção habilitados. As alterações de arquivo que ocorreram no host cinco minutos antes do alerta de prevenção serão revertidas ao estado anterior (que pode ocorrer até duas horas antes do alerta).
Isso pode ajudar a conter o impacto de atividades maliciosas, pois o Elastic Defend não apenas interrompe a atividade, mas também apaga quaisquer artefatos de ataque implantados antes da detecção.
Esse recurso pode ser ativado nas configurações avançadas da integração do Elastic Defend digitando truena opção windows.advanced.alerts.rollback.self_healing.
Vou ficando por aqui. Dúvidas, sugestões ou críticas construtivas, é só postar um comentário. Até o próximo! :)
