MaxPatrol EDR

MaxPatrol Endpoint Detection and Response (MaxPatrol EDR) – система, предназначенная для защиты конечных устройств от киберугроз. Собирая и анализируя данные из множества систем, MaxPatrol EDR выявляет в IT-инфраструктуре организации сложные целевые атаки и автоматически реагирует на них.

MaxPatrol EDR встроен в экосистему продуктов Positive Technologies и позволяет:

• отправлять данные о системных событиях и событиях ИБ в MaxPatrol 10;
• отправлять подозрительные файлы на проверку в PT Sandbox и использовать полученные вердикты одновременно на всех конечных устройствах;
• запускать на конечных устройствах сканирование в режиме аудита и отправлять результаты в MaxPatrol VM.

При обнаружении угроз MaxPatrol EDR имеет возможность выполнить следующие автоматические действия:

• удалить файл;
• завершить один или несколько процессов;
• заблокировать сетевой трафик;
• заблокировать учетную запись;
• запустить проверку файлов и процессов на основе YARA-правил;
• отправить файл на проверку в PT Sandbox;
• запустить сканирование в режиме аудита и отправить результаты в MaxPatrol VM;
• заблокировать все сетевые соединения по IP-адресу;
• перенаправить DNS-запросы на IP-адрес;
• изолировать файл в зашифрованном хранилище.

Кроме того, администратор или оператор системы может в любой момент времени вручную запустить на конечном устройстве реагирование на угрозу.