Symantec Endpoint Security Complete (SESC) enthält die Endpoint Detection and Response (EDR) Technologie, mit Hilfe derer nach allen möglichen Ereignissen auf dem Endpunkt gesucht werden kann. Dabei werden die Ereignisse zuerst im Endpoint Activity Recorder (EAR) auf dem Endpunkt selbst gespeichert und dann teilweise an die SESC Cloud geschickt. Neben anderen Information, die der Client generiert, z. B. LiveUpdate Events, Scans etc, können Sie dann nach Informationen in der Cloud über „Investigate“ suchen.
Daten, die vom Endpunkt and die Cloud geschickt wurden, finden Sie unter der „Cloud Database“ Suche (1). Daten, die nicht geschickt wurden, sich aber auf dem Endpunkt im Activity Recorder befinden, z. B. wer hat wann welchen Registry Key geschreiben oder verändert, können Sie über eine „Endpoint“ Suche (2) in die Cloud zur weiteren Untersuchung holen. In der folgenden Tabelle sind Events aufgeführt, die an die Cloud gehen und
| Cloud Database | lokaler Speicher (EAR) |
|---|---|
| Process launches | DLL Loads |
| All suspicious activities | File creation, modification, and deletion |
| Activities that are related to any process group that has performed suspicious activities | Registry key/value creation, modification, and deletion |
| Network activity summaries | Network activity details |
Aufgrund der Vielzahl von Events, die auf einem Endpunkt generiert werden ist es wichtig, zuerst einmal zu überprüfen, ob die an die Cloud geschickten Events einigermaßen rechtzeitig in der Cloud Datenbank eingetragen werden.
Dazu sollten Sie neben der „Time“ auch die „Log Time“ in der Konsole anzeigen. Gibt es hier einen Unterschied von mehr als 5 Minuten, ist das nicht so gut für Ihre Suchen und Sie haben zwei Möglichkeiten.
- Überprüfen der EDR-Policy
- Reduzieren der Anzahl der Events
Überprüfen der EDR-Policy
In der zugewiesenen EDR-Policy wird definiert, in welchem Intervall der Endpunkt die Ereignisse in die Cloud lädt. Wenn hier „Hourly Upload“ eingestellt ist, werden Events nur jede Stunde an die Cloud geschickt und Sie können das Intervall einfach verkleinern.
Weitere Informationen zu dieser Einstellung bei Broadcom.
Reduzieren der Anzahl von Events
Auf einem meiner Rechner habe ich ein Programm, welches mehrmals in der Sekunde ein anderes Programm aufruft und damit meine EDR flutet, sowohl im Endpoint Activity Recorder, als auch in der Cloud. Dies führte dann sogar dazu, dass unter „Investigate“ zwischen dem Aufrufen des Programs auf dem Endpunkt und der Meldung an die Konsole eine Zeitverzögerung von mehr als 2 Stunden auftrat. In einem solchen Fall macht es absolut Sinn, diese Events zumindest nicht an die Cloud zu schicken und Sie nur auf dem Endpunkt im Recorder aufzuheben. Dazu können in der EDR-Policy Regeln definiert werden.
Für jede Regel wird dabei entscheiden, ob die Daten selbst auf dem Endpunkt nicht gespeichert werden, ob sie auf dem Endpunkt gespeichert aber eben nicht an die Cloud geschickt werden, ob sie gespeichert und geschickt werden, oder ob das Monitoring in diesem Fall komplett deaktiviert werden soll.
In meinem Fall habe ich die Regel so definiert, dass die Daten im EAR lokal gespeichert, aber eben nicht hochgeladen werden.
Sie sollten hier nur Ausnahmen erstellen, die massenhaft in Ihrer „Investigate“ Anzeige auftauchen und die Sicht auf auf die wichtigen Infos „vernebeln“.
Über die Endpoint Suche können alle diese Events auf dem Endgerät gesucht und so in die Cloud geholt werden.
Weitere Beiträge zum gleichen Thema: