Trusted to be ahead

Objetivos de Aprendizado

• Depois deste curso você estará habilitado para:

• Entender a arquitetura do Gravityzone Elite e Ultra
• Entender para quais tipos de clientes o produto é desenhado
• Configurar as funções referentes a esses produtos (Politicas)
• Entender como funciona a parte de relatorios e informações pertinentes
 O que é o gravityzone?
OVERVIEW
• Bitdefender GravityZone é endereçado para a maior parte das necessidades das empresas provendo
segurança para várias plataformas fisicas, servidores, endpoints virtualizados, dispositivos móveis e
servidores de email Exchange.
Gravityzone Elite
Gravityzone Elite
 Gravityzone Elite

Machine Learning Dinamico Sandbox Analizer

Algoritmos treinados em filtro de URL e analise de Envio automático de arquivos suspeitos dos Endpoints para
Arquivos em 500M de sensores de endpoints e trilhões Um sandbox baseado em cloud para detonação e analise
de amostras enviadas para melhor detecção com baixo De comportamento
índice de falsos positivos

Hyper Detect Proteção de memória

Novo machine learning configurável e analise de Detecta métodos e exploits e protege o espaço de memória
comportamento treinados para detectar ameaças Dos navegadores, visualizadores de documentos, tocadores
avançadas e sofisticadas De mídia e aplicativos do office
na pré-execução
Inspetor de processo (ATC)
Proativa, detecção dinâmica de ameaças desconhecidas baseado
No monitoramento continuo, monitorando e pontuando processos
Em execução e eventos de sistemas e marcando atividades suspeitas
 O que é Machine Learning?

Como o próprio nome diz, quer dizer aprendizado de máquina. É a capacidade de poder mudar o seu
comportamento autonomamente com base na sua própria experiencia. Isso é somente possível por conta de um
conjunto de dados já previamente armazenados sobre características ou padrão de alguma coisa, pode ser usado
em diversos vetores da tecnologia. Neste caso, padrões sobre comportamento de vírus ou características deles
ajudam o AV a detectar mesmo os malwares de dia zero.
Como funciona o Machine Learning?

Padrão
comum
 Mas por que Machine Learning?

Hoje em dia as ameaças de computadores tem evoluído muito, e simplesmente usar tecnologias que abordam
somente base de assinaturas não vão ser tão efetivas assim, somente 20% a 30% dos virus são detectados pelo
que as fabricantes conhecem.

Proteção por heurística tem seu tempo de validade, ela não procura padrões, ela apenas diz sim ou não baseado
numa característica de um arquivo por si só, mediante a experiencia própria, ela pode não ser suficiente para a
maioria dos vírus de dia zero, porque o padrão ainda não é conhecido.

Machine learning por outro lado usa essa experiência e pode criar novos padrões baseados na predição de um
objeto. Como ele não é estático é mais efetivo na detecção de ameaças novas, nunca antes catalogadas por
nenhum outro parâmetro.
 Características do Machine Learning
- Habilidade de extrair características significativas >40,000
- Descompactação – Extrai mais características para a analise do Machine Learning
- Emulação em pré execução – Extraí característica de comportamento
- Reputação de pacote

- Detecção de URL maliciosa – Usa o machine learning para detectar URL maliciosas, ou sites de exploit
quando não há reputação
- Detecção de Phishing e sites fraudulentos

- Mais de 75 mil modelos de Machine Learning

- 500 milhões de Endpoint no mundo
- Trilhões de amostras novas
- Maior conjunto de arquivos limpos
Se todas as caixas tem a mesma dimensão, peso e cor, como você precisamente pode adivinhar o que tem dentro delas?
Malware Descompactado
Anatomia de um ataque sem arquivo

Canal Infecção/Exploração Técnica de Payload Objetivo

Email de Phishing Usuário habilita Macro de Word PowerShell Executa código

Email Social com O Macro – Contem Gera comando baixa Na memória
Anexo Word Script PowerShell Malware sem
arquivo
 HyperDetect
Gravityzone Elite

- Proteção contra ameaças elusivas. Detecção de ataques baseado em Script (e.x. PowerShell),
ataques sem arquivo, malware desconhecido

- Forte prevenção na pré-execução

- Machine learning não baseado em assinatura

- 5 classificações de detecção: Targeted attack/hacking tools, Anti-Exploit, Ransomware, PUA,

tráfego de web suspeito

- Visibilidade potencial de ameaças – Relatório de objetos suspeitos em nível mais agressivo

- Incluído no Endpoint Security e na Segurança de virtualização

Anatomia de um ataque sem arquivo
Canal Infecção/Exploração Técnica de Payload Objetivo

Hyper Detect com inspetor de processo

- Macro de Word inicia PowerShell
- Analisador de linha de comando
- Tráfego Suspeito
- Proteção de memória/anti-exploit
- Injeção/execução de código – Analise de
código em buffer de memória
HyperDetect
HyperDetect
DEMO
 Sandbox Analyzer

- Provê analise automática e profunda de comportamento de objetos em um ambiente controlado e isolado

dentro da infraestrutura da Bitdefender
- Envio automático de objetos suspeitos e fornece veredito rápido e remediação automática baseado no
resultado da analise
- Usuários podem escolher o Modo de bloqueio que irá bloquear arquivos até que a analise retorne algum
veredicto, ou Modo monitor
- Disponível no Endpoint Security e também na segurança da virtualização (SVE)
DEMO
Gravityzone Ultra
 Endpoint Detection and Response

• As ferramentas de detecção e resposta de endpoint funcionam monitorando eventos de terminais e de rede

e registrando as informações em um banco de dados central, onde análises, detecções, investigações,
relatórios e alertas adicionais são realizados. Um agente é instalado nos terminais fornece a base para
monitoramento e relatório de eventos.

• O monitoramento e a detecção contínuos são facilitados pelo uso de ferramentas analíticas, que identificam
tarefas que podem melhorar o estado geral de segurança desviando ataques comuns e facilitando a
identificação precoce de ataques contínuos - incluindo ameaças internas e externas, além de permitir uma
resposta rápida a ataques detectados.
 Como funciona?

O EDR do Bitdefender trabalha com um sensor, que é ativado via politica nas estações de trabalho que
coleta informações constantemente dos Endpoints e as envia para uma analise para a Bitdefender em seus
datacenters, por isso ele somente hoje funciona em Cloud. Feito a analise, ele devolve as informações para
o console de gerenciamento informando incidentes que foram engatilhados por aquele arquivo ou arquivos.
 Para que serve?

Através dos incidentes que foram engatilhados, é possível ter uma visão geral de ameaças que tentaram, ou
Que ainda estão execução (por não se tratar de um vírus e sim de um comportamento parecido) e tomar ações
Diferenciadas com o endpoint conforme veremos nos slides a seguir. Para quem deseja saber tudo que se passa
Em sua rede em relação a eventos que não necessariamente desencadearam uma infecção, essa é a ferramenta ideal
Incidentes
 Incidentes - EDR
O GravityZone ATS integra a proteção de Endpoint de próxima geração em camadas e a plataforma EDR fácil de usar
para proteger contra as ameaças cibernéticas mais indescritíveis. Ele contém dois componentes principais:
O Sensor EDR, que coleta, processa, e reporta endpoints e dados de comportamento de aplicações.
O Security Analytics, um componente de backend usado para interpretar os metadados coletados pelo sensor EDR.
 Incidentes - EDR
A página Incidentes lista eventos de segurança com as seguintes opções de filtragem:
Pontuação de Confiança - Este contexto é baseado nos indicadores de ataque e técnicas MITRE, se aplicável. O intervalo
padrão é definido de 100 a 10.
Status (Aberto, Investigando e Fechado) - Uma vez fechado, um evento de segurança não será mais atualizado.
Indicadores de ataque - Filtre eventos de segurança por indicador de ataque. A opção muda dinamicamente, com base
nos indicadores de ataque encontrados nos eventos de segurança listados.
MITRE Techniques (base de conhecimento MITRE ATT & CK) - Filtre a segurança pela base de conhecimento ATT & CK
do MITRE, se aplicável. As opções mudam dinamicamente, com base nas técnicas encontradas nos eventos de
segurança listados
Filtro de pesquisa - Use o filtro de pesquisa na barra de ação para inserir nomes de arquivos, endereços IP, nomes de
host ou IOCs
Incidentes - EDR

* Clique em Sobre para abrir a Matriz Técnica do MITRE em uma nova guia.
 Incidentes - EDR

➢ Ameaças - Este cartão é acionado por pequenos eventos de segurança que podem ser resolvidos facilmente.
➢ Incidentes - Este cartão é acionado por grandes eventos de segurança que exigem sua atenção
 Incidentes - EDR

Essa área fornece informações mais detalhadas e ações de correção que você pode executar.
Você pode ver as seguintes informações:
➢ Descrição e tags do evento de segurança.
➢ Mapa de eventos de segurança
➢ Detalhes do Nó
➢ Use as seguintes guias para investigar eventos de segurança:
➢ Resumo
➢ Linha do Tempo
 Incidentes - EDR
Resumo
• Na guia Resumo, você pode investigar eventos de segurança e realizar ações. Os eventos de segurança são descritos
resumidamente no início da guia.
• Linha do tempo
• Use a Linha do tempo para visualizar detecções com registro de data e hora em uma ordem cronológica.
• Tomar uma ação
• Reação Rápida - Matar, Quarentena ou instalação de Patch (Se possuir e licença de Gerenciamento de Patch)
• Isolar - isola o terminal da rede, mantendo a comunicação com os serviços do GravityZone.
• Investigar - análise externa através do Virus Total, Sandbox e Google
• Ação de Rede - Adicionar à Lista de Bloqueios e Adicionar Exceção
 Incidentes - EDR
➢ Visualizar e editar arquivos bloqueados
➢ Adicione itens à lista de bloqueio com base nos hashes MD5 ou SHA256 para toda a empresa ou destinos específicos.
 Incidentes - EDR

A página de pesquisa permite que você passe por eventos passados com base em critérios complexos.
 Incidentes - EDR
Para visualizar os eventos em que você está interessado, você deve criar consultas usando a linguagem de consulta
disponível no GravityZone.

A linguagem de consulta fornece o vocabulário (campos e

operadores) e a sintaxe com a qual você pode construir consultas.
 Incidentes - EDR
• Permite ativar ou desativar o Sensor EDR para monitorar continuamente a atividade do terminal, como
processos em execução, conexões de rede ou alterações no registro.
DEMO