Izolacja urządzeń jest bardzo ważna. Lubimy wszystkie NPE zarządzane przez powierzchnię ataku. Pomaga nam identyfikować urządzenia i chronić nas w sieci. To również w połączeniu z integracjami innych firm. Posiadamy integracje, które pomagają nam identyfikować urządzenia za pomocą naszych usług zarządzania lukami w zabezpieczeniach. Skanuje sieć i wysyła wszystkie te dane do VisionOne. Dzięki tym informacjom identyfikujemy urządzenia, które są chronione w sieci i środowisku.

Raporty są naprawdę dobrą funkcją pokazywania wyników kierownictwu wyższego szczebla.

Funkcje wyszukiwania pomagają nam korelować informacje i identyfikować podejrzane działania. To kolejna bardzo ważna funkcja.

Używamy go wszędzie, z wyjątkiem sieci, więc nie korzystamy z usługi wykrywania sieciowego Trend Micro. Mamy je jednak na serwerach punktów końcowych i poczcie elektronicznej, a także w chmurze. Do połączenia tego elementu wykorzystujemy zgodność chmury.

Trend Micro posiada funkcję o nazwie Vision One, która zapewnia nam scentralizowane zarządzanie widocznością na wszystkich poziomach ochrony. Dzięki temu możemy mieć scentralizowany obraz konsoli. To główny powód, dla którego nadal mamy ten produkt.

Scentralizowana widoczność jest ważna. Kiedy prowadzimy dochodzenia, możemy zrobić wszystko w jednej konsoli, zamiast przechodzić do różnych ekranów lub okien. Scentralizowana widoczność i zarządzanie tymi poziomami ochrony pomogły nam zwiększyć wydajność. Pomaga nam szybciej identyfikować wszelkie potencjalne zagrożenia i inne działania specjalne.

Posiadają tę funkcję o nazwie Risk Index, której czasami używam do weryfikacji poziomu stawek. Nie używamy go często – może raz na jeden lub dwa tygodnie. Używamy go do ogólnej klasyfikacji naszych operacji bezpieczeństwa. Głównie sprawdzamy to z ciekawości.

Korzystamy z zarządzanej usługi XDR, z której korzystają. Zmniejsza obciążenie pracą, zwłaszcza podczas dochodzeń lub raportów tymczasowych na temat konkretnej aktywności, zwłaszcza w przypadku pokrycia po godzinach pracy. Pomaga nam w tym zakresie. Ponadto, jeśli dzieje się coś naprawdę złego, mamy oczy obserwujące całą aktywność, co jest miłe.

Korzystanie z tej zarządzanej usługi XDR umożliwia naszemu zespołowi pracę nad innymi zadaniami – zwłaszcza gdy w określony sposób przydzielamy niektóre elementy dochodzenia. W zasadzie tworzymy dla nich prośbę o zbadanie sprawy, co pozwala nam skupić się na innych rzeczach w celu optymalizacji naszego zestawu narzędzi bezpieczeństwa. To bardzo pomocne.

Korzystamy z możliwości zarządzania ryzykiem powierzchni ataku. W tej chwili często z tego korzystamy. W ciągu ostatnich kilku miesięcy był to bardzo ważny przypadek. Używamy go do identyfikacji wielu urządzeń bez ochrony, aplikacji, z których korzystali nasi użytkownicy, a które są ryzykowne. Używamy go regularnie. Pomogło nam to zidentyfikować martwe punkty i więcej zasobów. Pozytywnie wpłynęło to na naszą postawę bezpieczeństwa, poprawiając naszą widoczność.

XDR pomogło nam skrócić czas wykrywania zagrożeń i reagowania na nie. W przeszłości nie mieliśmy takiej widoczności. Kiedy włączyliśmy to narzędzie, na początku było trochę hałaśliwe. Tego należy oczekiwać od nowego narzędzia. Jednak po tych latach sprawy się poprawiają, a teraz możemy zauważyć lepsze wyniki, szczególnie podczas dochodzeniowych alarmów.

Rozwiązanie pomogło nam skrócić czas poświęcony na zbadanie fałszywych alarmów. Na początku było wiele fałszywych alarmów. Obecnie codziennie staramy się je ograniczyć. W tym momencie są one niższe niż na początku wdrożenia. Wszystko się poprawia. Ograniczamy liczbę fałszywych alarmów, co jest świetne.