Огляд
Про службу
ESET LiveGuard Advanced це платна служба від ESET. Її призначення — забезпечити додатковий рівень захисту для запобігання новим загрозам.
Змінення імені служби
З 23 березня 2022 року ESET Dynamic Threat Defense має нову назву — ESET LiveGuard Advanced. У продуктах ESET для бізнесу цей модуль може мати назву ESET LiveGuard. Обидва імені відносяться до однієї служби.
Принцип роботи
Підозрілі зразки, які не підтверджено як шкідливі та які можуть потенційно містити шкідливе програмне забезпечення, автоматично надсилаються в хмару ESET. Надіслані зразки виконуються в пісочниці й оцінюються нашими розширеними ядрами виявлення шкідливого програмного забезпечення. Шкідливі зразки або підозрілі електронні листи зі спамом надсилаються в ESET LiveGrid®. Вкладення з електронних листів обробляються окремо й надсилаються в ESET LiveGuard Advanced. Адміністратори або користувачі можуть визначати кількість файлів, які надсилаються, а також період зберігання файлу в хмарі ESET. За замовчуванням документи та файли PDF з активним вмістом (макросами, javascript) не надсилаються. Детальний опис див. за посиланням Принцип роботи рівнів виявлення.
У розділі Надіслані файли консолі віддаленого управління адміністратори можуть отримати короткий звіт про фактичну поведінку зразка для кожного надісланого файлу. Якщо виявиться, що файл шкідливий, він блокується як підозрілий об’єкт для всіх користувачів, які беруть участь в ESET LiveGrid®. Якщо його оцінено як шкідливий, він блокується на всіх комп’ютерах в організації користувача відповідно до порогового значення конфіденційності.
Файли можна надсилати вручну або автоматично залежно від конфігурації політики. У веб-консолі ESET PROTECT користувач може надсилати файли .exe, відносно яких є повідомлення з клієнтських машин.
Чим відрізняються ESET LiveGuard Advanced, ESET LiveGrid® і ESET Threat Intelligence?
Архітектура
Продукти ESET для захисту й консоль керування
Щоразу, коли зразок завантажується в ESET LiveGuard Advanced для аналізу, його метадані передаються на консоль керування, якщо клієнт може підключитися до сервера. Таким чином адміністратор консолі отримує список зразків, переданих у хмару ESET.
Продукти ESET для захисту та ESET LiveGuard Advanced
Щоразу, коли активований і налаштований продукт ESET для захисту вирішує, що зразок потрібно проаналізувати, він завантажує зразок в ESET LiveGuard Advanced. Після того як служба ESET LiveGuard Advanced проаналізувала зразок, вона надає результат усім комп’ютерам у цій компанії (або клієнту MSP) і всім компаніям, які коли-небудь надсилали цей файл. Продукт для захисту виконує відповідну дію згідно з налаштованою політикою. У продуктах ESET Endpoint і ESET Server 7.2 й новіших версій можна вибрати дію, яка виконуватиметься для шкідливих файлів, завантажених браузерами й поштовими клієнтами.
ESET підписує всі передані пакети, щоб зменшити ризик атаки. Якщо у внутрішній мережі використовується підключення HTTP, продукт завжди перевіряє, чи підключення оновлено до HTTPS після проксі-сервера. Якщо проксі-сервер не налаштовано належним чином, підключення HTTPS також використовується у внутрішній мережі.
Консолі керування ESET і ESET LiveGuard Advanced
До ESET LiveGuard Advanced є доступ у локальних і хмарних консолях керування (ESET PROTECT On-Prem, ESET PROTECT). Коли служба ESET LiveGuard Advanced отримує зразок від продукту ESET для захисту, вона автоматично надсилає на консоль керування інформацію про статус аналізу. Після завершення аналізу результат передається на консоль керування.
Кінцеві точки роумінгу та ESET LiveGuard Advanced
Кінцева точка роумінгу – це клієнт із продуктом ESET для захисту, який працює за межами периметра компанії й не має підключення до ESET PROTECT On-Prem. Зазвичай це комп’ютер без VPN, який використовується вдома або відрядженні. Клієнт роумінгу користується всіма можливостями служби ESET LiveGuard Advanced. Однак він не повідомляє ESET PROTECT On-Prem про зразки, надіслані на аналіз. Коли клієнт повертається в область вашого периметра та підключається до ESET PROTECT On-Prem, його метадані синхронізуються й список надісланих файлів оновлюється. Інші клієнти в мережі можуть отримувати оновлення, створені в результаті загроз, виявлених, поки клієнт перебував у роумінгу, навіть до того, як він синхронізується з ESET PROTECT On-Prem.
ESET Cloud Office Security і ESET LiveGuard Advanced
ESET LiveGuard Advanced аналізує надіслані файли, виконуючи підозрілий код в ізольованому середовищі для оцінки його поведінки. ESET Cloud Office Security надсилає підозрілі вкладення й файли з Microsoft Exchange Online, OneDrive, груп Teams і сайтів SharePoint у ESET LiveGuard Advanced для аналізу. ESET Cloud Office Security не вимагає передачі даних на консоль керування ESET. Інформація про надіслані файли та їхні результати відображається в ESET Cloud Office Security.
Глобальна база даних
ESET LiveGuard Advanced використовує два центри обробки даних Azure (у США та Європі), щоб зберігати хеші файлів і результати їх аналізу. Центри обробки даних дозволяють швидше отримати результати вже проаналізованих файлів. У штаб-квартирі ESET (у Словаччині) зберігаються всі надіслані файли й виконується аналіз. Дані кожного клієнта (компанії) зберігаються окремо в одній глобальній базі даних. ESET направляє підключення користувачів у найближчий центр обробки даних.
Наполегливо рекомендуємо використовувати проксі-сервер для кешування відповідей із серверів ESET, зокрема користувачам із великою кількістю (сотнями або більше) клієнтських комп’ютерів, оскільки це може значно заощадити мережевий трафік. Ви можете виключити вибрані папки та процеси, щоб зменшити кількість надісланих файлів і покращити загальну продуктивність. |