El servicio EndPoint ha sido diseñado para la monitorización y análisis de la actividad de los equipos/sistemas que forman parte de la infraestructura de red de una compañía y que serán analizados mediante la App redborder Malware. (En el caso que nos ocupa, los equipos analizados por el Manager de redborder corresponden a aquellos con SO Windows 7).
El escenario diseñado para el control de los EndPoints se compone de los siguientes elementos:
EndPoints: equipos o sistemas finales.
Agente de carga: programa que monitoriza la actividad del equipo: procesos creados y destruidos, conexiones generadas por esos procesos y captura de ficheros. El agente de carga identifica amenazas gracias al análisis de los ficheros y de los Indicadores de Compromiso (IOC).
Agente GRR: sistema distribuido de monitorización y análisis forense que da soporte a equipos finales, dando respuesta a cualquier incidencia.
Caché local: el agente de carga coteja el hash de los ficheros detectados contra una caché local. En caso de que el hash de dicho fichero sea reconocido por la caché local, el fichero no será enviado a S3 para su almacenamiento aunque sí se emitirá un mensaje de Kafka que contiene información sobre el mismo.
Manager:
-Kafka
-S3
-Acceso a servidor GRR
Logs: archivo en el que se almacena toda la información relativa al funcionamiento del agente de carga.
Events: actúa a modo de caja negra; en ella se almacenan toda la información relativa a los eventos generados por los procesos, conexiones o ficheros capturados por el Agente de Carga a lo largo del tiempo.
7.1. ¿Qué acciones se pueden realizar desde la plataforma web redborder para el control de EndPoints?
El usuario puede realizar diferentes acciones desde el entorno web de redborder tanto para la instalación de los agentes de carga y GRR como para el análisis y tratamiento de la información proporcionada por ellos:
Descarga del EndPoint: instalación del Agente de Carga y GRR.
Visualización de datos de EndPoints: desde la plataforma redborder el usuario puede consultar información relativa a cada dispositivo y su estado.
Alertas/Snapshots: Información sobre cambios de estado de los EndPoints y descarga de Snapshots o capturas que permiten realizar un análisis comparativo del estado de los EndPoints en un momento determinado.
Aplicación de mecanismos de contención: desde la plataforma web redborder es posible controlar la conexión de red del EndPoint para tomar medidas de protección de los equipos finales.
Descarga de los eventos: Descarga de información detallada de la actividad registrada por el Agente de Carga.
Configuración de periodicidad de descarga de las Snapshots y acceso al panel GRR.
Visualización de eventos Malware: relacionados con los cambios de estado de los EndPoints.
