Je suis confiant dans la capacité d’Apex One à défendre les endpoints contre des menaces telles que les malware, les ransomware et les scripts malveillants.

Apex One dispose d’un apprentissage automatique prédictif et d’une surveillance du comportement, qui sont essentiels à la sécurité des endpoints. Notre analyse de fichiers analyse également la mémoire pour détecter les malware. La surveillance du comportement est particulièrement efficace pour détecter les attaques de ransomware, car elle peut vérifier les méthodes de chiffrement inhabituelles.

J'aime la façon dont les produits Trend s'intègrent les uns aux autres. Les serveurs Apex One sont tous liés à Central, qui est désormais intégré à ma console Vision One. Les fonctionnalités sur site sont également intégrées à Azure.

Nous utilisons un tableau de bord unique via Apex Central pour afficher les détections, la chasse aux menaces et les enquêtes. La visibilité à travers la console unique est importante. Lorsque nous ouvrons le tableau de bord, il nous indique ce qu’il a trouvé. Par exemple, je regarde actuellement la version SaaS. Si je vais sur ApexOne, je peux voir tous les agents qui sont actuellement connectés. Le chargement de tous les agents prend quelques instants. Nous sommes actuellement en arrêt pendant les mois d'été. Nous sommes un conseil scolaire, il y a donc moins de membres du personnel sur place, et toutes les écoles ne sont pas ouvertes. Nous comptons 12 000 employés et 80 000 étudiants. Cependant, tous les élèves ne sont pas en ligne en ce moment, comme ils le seraient pendant l’année scolaire. Vendredi prochain, nous aurons plus de membres du personnel au bureau. Lorsque l’école commencera après le long week-end de la fête du travail au Canada en septembre, tout le monde sera de nouveau en ligne. Actuellement, le tableau de bord n'affiche que 9 140 agents. La semaine dernière, elle a montré 6 400 agents. J'ai configuré le système pour supprimer les agents inactifs afin que le système n'ait pas à analyser constamment un tas de systèmes qui ne sont même pas là. J’ai vu jusqu’à 17 000 endpoints sur notre système.

Vision One surveille désormais la sécurité de ma charge de travail Cloud One et My Cloud Central. Cela signifie que Vision One collecte des données à partir des deux systèmes et me donne un aperçu complet de ma posture de sécurité. Lorsque j’ouvrirai Vision One, je pourrai voir la visibilité sur toute mon organisation. J'ai configuré Vision One pour envoyer des données à notre serveur Syslog et recevoir des données de notre serveur Qualys. Le serveur Qualys analyse mes serveurs à la recherche de vulnérabilités et rend compte à Vision One. J'ai également configuré une passerelle de service et une passerelle de data center de sécurité des charges de travail. La passerelle du data center de sécurité des charges de travail alimente Vision One en données de mes serveurs VMware ESX. Cela permet à Vision One de voir l'état en temps réel de nos machines virtuelles, y compris celles qui sont sous tension, celles qui exécutent Deep Security Agent et celles qui s'exécutent toujours sur mon serveur Deep Security sur site. Vision One me fournit une vue d'ensemble des risques, une vue d'ensemble de l'exposition et une vue d'ensemble des attaques. Ces informations comprennent des détails sur l’accès aux informations d’identification, le mouvement latéral, l’impact de la collecte et les règles de transfert de courrier suspect.

Notre système Azure pour Office 365 et Azure Active Directory sur site sont également connectés à Vision One. Cela signifie que Vision One peut voir toutes les connexions à notre système Azure et à notre AD sur site. J'ai des agents qui s'exécutent sur nos contrôleurs d'annuaire sur site, donc ces données sont également alimentées dans Vision One. Vision One peut également voir nos contrôleurs de domaine Azure et notre DMZ. Je reçois des e-mails d'alerte lorsque quelque chose de grave se produit. Je n'ai reçu aucun de ces e-mails depuis que nous avons commencé à utiliser Vision One. Cependant, je reçois des e-mails sur les endpoints dont les fichiers ont été mis en quarantaine. Le fichier sur l'endpoint était trop volumineux pour passer à la quarantaine du serveur principal. Vision One m'a donc donné un petit message d'erreur. Actuellement, le tableau de bord de protection des endpoints montre que sur 19 678 endpoints, des agents ont été déployés sur 13 675. Cela inclut les Mac. Le tableau de bord affiche un endpoint Linux, qui est ma passerelle de service. Il existe 882 endpoints Mac OS, ce qui est inférieur au nombre habituel de 1 100, car tous ne sont pas activés. Il existe 12 792 endpoints Windows. Le tableau de bord montre également que 6 003 endpoints n’ont pas de protection de sécurité. Ces endpoints incluent probablement l'équipement réseau, certains serveurs Linux qui n'exécutent pas le logiciel Trend Micro et les systèmes d'exploitation propriétaires utilisés par notre équipe réseau et d'autres groupes IT. Certains endpoints sont également répertoriés dans notre Active Directory, mais ils sont désactivés ou n'ont pas de systèmes actifs. Les mises à jour sont appliquées toutes les heures. Si un exploit passe et qu’un endpoint n’a pas été mis à jour, il recevra la mise à jour sur le cycle suivant. La raison la plus fréquente pour laquelle un endpoint ne reçoit pas de mise à jour est un problème de réseau ou la mise hors tension du endpoint. Une fois qu'un endpoint est mis en ligne, il est configuré pour récupérer automatiquement les mises à jour de sécurité du serveur, ou directement des serveurs Trend sur Internet si le serveur n'est pas disponible. La première chose que le endpoint fait lorsqu'il se met en ligne est de mettre à jour ses correctifs de sécurité, signatures et moteurs d'analyse. Lorsqu'une détection est effectuée, le endpoint supprime d'abord le fichier et le met en quarantaine. Il bloque ensuite l'action de ce que le fichier essayait de faire. Les correctifs virtuels, la surveillance du comportement et l’apprentissage automatique prédictif du endpoint mettent fin à toute activité inhabituelle. Cela peut même inclure une activité qui est censée se produire. Des membres de notre service ICT se plaignent de ne pas avoir pu installer de logiciel, car la protection antivirus le bloquait. Dans certains cas, nous avons des groupes au sein de notre organisation qui sont responsables de la maintenance de leurs propres serveurs. Lorsqu'ils effectuent des mises à niveau, ils peuvent nous planifier la désactivation temporaire de la protection antivirus afin qu'ils puissent terminer la mise à niveau. Même si un malware n'est pas détecté par le système de réputation Web et est téléchargé par un utilisateur, il peut toujours être détecté par le système de détection de malware basé sur la signature. S'il n'est détecté par aucun de ces systèmes, il peut toujours être bloqué s'il tente de contacter son maître. Ces adresses principales sont souvent des adresses courantes sur Internet qui sont utilisées par les robots pour communiquer avec un serveur géré par l'acteur malveillant. Si un robot ne peut pas contacter son maître, il ne pourra pas fonctionner. Si nous voyons un grand nombre de robots bloqués, nous étudierons le système pour voir ce qui est à l'origine du problème. Dans de nombreux cas, il s'avère qu'il s'agit d'une activité légitime qui est bloquée par le système. Par exemple, nous pouvons avoir des scripts personnalisés exécutés sur certains serveurs qui semblent suspects pour le système. Nous pouvons mettre manuellement ces scripts en liste blanche afin qu’ils ne soient pas bloqués. Globalement, le système est conçu pour être surprotecteur. En effet, il est préférable de bloquer quelque chose de légitime plutôt que de laisser passer les malwares. Nous pouvons toujours corriger un faux positif, mais il est beaucoup plus difficile de corriger une violation de sécurité.

J’ai commencé à utiliser Apex One en août 2020. J'ai appris à déplacer des agents, à installer des logiciels et à faire entrer l'agent sur le serveur. J'ai également appris grâce à la documentation, à la base de connaissances, aux forums et à d'autres utilisateurs. J’ai trouvé Apex One plus difficile à apprendre que PaperCut, car la terminologie et les concepts sont différents. PaperCut ne concerne que l’impression et la surveillance, tandis qu’Apex One concerne la cybersécurité. De nombreuses mises en garde doivent également être prises en compte avec Apex One. J'ai trouvé les paramètres d'analyse particulièrement difficiles. Trend Micro dispose de documents utiles sur les bonnes pratiques, que j'ai utilisés pour découvrir les paramètres normaux pour les serveurs et les postes de travail. Par exemple, les serveurs n'ont pas besoin d'être analysés pour détecter les exploits de documents de bureau, car Office n'est généralement pas installé. J'ai également appris qu'il est important d'équilibrer la sécurité et les performances. Nous ne voulons pas analyser les serveurs si fortement que cela les ralentisse, mais nous ne voulons pas non plus ignorer les contrôles de sécurité importants. En janvier 2021, nous avons modifié notre politique sur les paramètres de sécurité. Nous disons maintenant aux utilisateurs que s'il y a des problèmes, nous allons les résoudre. Nous préférons avoir un petit problème que nous pouvons résoudre rapidement plutôt que d'avoir à restaurer un serveur à partir de la sauvegarde, ce qui peut prendre des jours.

ApexOne fournit des correctifs virtuels, également connus sous le nom de protection contre les vulnérabilités, pour se protéger contre les vulnérabilités avant qu’elles ne soient exploitées. Deep Security et Workload Security appellent cette fonctionnalité la prévention des intrusions, mais c'est essentiellement la même chose.