fortinetXDR和EDR产品调研bonelee

高级攻击可能只需几分钟，甚至几秒钟即可攻破端点。第一代端点检测与响应(EDR)工具根本无力应对。它们需要手动分类和响应，面对瞬息万变的威胁，这种方式效率低下，对已经不堪重负的安全团队来说无疑是雪上加霜。此外，传统EDR工具还会增加安全运营成本，并降低运营效率，从而对业务产生负面影响。

FortiEDR能够为感染前后的端点提供高级实时威胁防护。它可以主动减少攻击面、防止恶意软件感染、实时检测和消除潜在威胁，并能够通过可定制的playbook自动进行响应和修复。FortiEDR可帮助组织自动、高效地实时拦截攻击，并且可避免产生大量误报或中断业务运营，从而减轻安全团队的工作负担。

发现并主动缓解攻击面风险

FortiEDR可提供最先进的自动化攻击面策略控制以及漏洞评估和物联网安全防御，支持安全团队：

下一代杀毒软件(NGAV)

FortiEDR借助机器学习模式杀毒引擎来阻止恶意软件预执行。这一跨操作系统的NGAV功能可配置并内置到单个轻量级代理（亮点功能）中，支持用户为任何端点组提供反恶意软件防护，而且无需额外安装。

实时自动化漏洞防御

FortiEDR可实时检测并消除无文件类型恶意软件及其他高级攻击，从而有效保护数据安全并预防攻击。FortiEDR一旦检测到可疑进程流和威胁行为，就会立即阻止出站通信以及这些进程对文件系统的访问（如果请求访问这些进程），从而消除潜在威胁。这些操作可有效防止数据泄露、命令和控制(C&C)通信、文件篡改及勒索软件加密。同时，FortiEDR后端会继续收集更多证据，丰富事件数据并对事件进行分类。FortiEDR能够从根本上实时阻止数据泄露和勒索软件破坏，即使设备已受感染，也可自动确保业务连续性。

使用可定制的playbook编排事件响应

使用基于跨环境的洞察量身定制的playbook编排事件响应操作。在单台设备或环境中所有设备上简化事件响应和修复流程，手动或自动回滚已被遏制的威胁的恶意更改配置。

数据丰富的引导界面

FortiEDR可自动提供数据及感染前后恶意软件的详细信息，以便对遭到入侵的端点进行取证。其独特的引导界面提供有用的指导、最佳实践，并向安全分析师推荐合乎逻辑的后续操作。

FortiEDR采用FortinetSecurityFabric架构，并集成了许多SecurityFabric组件，包括FortiGate、FortiSandbox和FortiSIEM。

FortiGateFortiEDR连接器能够与FortiGate共享端点威胁情报和应用信息。FortiEDR管理可以指示FortiGate增强响应操作，例如在发生渗透攻击后禁用或拦截IP地址。

FortiNACFortiEDR与FortiNAC共享端点威胁情报和发现的资产。通过syslog共享，FortiEDR管理可以指示FortiNAC增强响应操作，例如隔离设备。

FortiSandbox得益于与FortiSandbox的原生集成，FortiEDR可自动将文件提交到云端沙箱中，支持实时事件分析和分类。此外，它还与FortiSandbox共享威胁情报。

FortiSIEMFortiEDR向FortiSIEM发送事件和警报，以进行威胁分析和取证调查。FortiSIEM还可以利用JSON和RESTAPI进一步集成FortiEDR。

FortiGuardLabs得益于与FortiGuardLabs的原生集成，FortiEDR可获得最新情报，支持实时事件分类，从而准确地激活事件响应playbook。

管理、架构和平台支持单个集成式管理控制台集预防、检测和事件响应功能于一体。扩展的RESTAPI可用于支持任何控制台操作及其他操作。

离线保护。保护并检测端点动态，从而有效保护离线端点。

原生云基础设施。FortiEDR具有云端多租户管理功能。它可以部署为云原生、混合或本地解决方案。它还支持物理隔离环境。

轻量级端点代理。FortiEDR的CPU占用率不到1%，最多使用120MBRAM和20MB磁盘空间，并且可以最大程度地减少网络流量消耗。

支持的操作系统。FortiEDR可支持Windows、MacOS和Linux操作系统，并提供离线保护。

FortiEDR可以对感染前后的端点保护，并自动实时阻止数据泄露和篡改行为。借助基于上下文的事件响应playbook，安全团队可以根据事件分类和目标主机自定义和自动启动事件调查和响应流程，从而优化安全运营。安全团队可以为FortiEDR部署部分或全部关键功能。

借助发现和风险缓解功能，FortiEDR可支持安全团队实时发现并主动控制不合规设备、物联网设备和应用，以及在整个系统或应用中的漏洞。FortiEDR基于机器学习的内核级反恶意软件引擎可提供有效的恶意软件防护。

在发生安全事件时，FortiEDR可以保护受感染设备上的数据安全并实时消除威胁，以防止数据泄露和勒索软件加密。此外，自动化事件响应和修复功能能够回滚影响端点的任何恶意更改。

借助预定义playbook事件响应，安全团队可以根据资产价值、端点组和事件分类创建定制的事件响应流程，从而实现基于上下文的playbook事件响应。此操作方法支持组织以一致的方式做出安全事件响应并优化安全资源。FortiEDR可自动实时响应事件，包括隔离设备、终止恶意进程和删除恶意文件。用户还可以在playbook中指定自动化修复过程，以自动清理和回滚恶意更改，而无需计算机离线。

此外，Fortinet还提供托管检测与响应(MDR)服务，能够为客户的安全运营中心(SOC)提供有力支持。

FortinetDeploymentandMDRServices:

1、FortinetProfessionalServicesprovidesexpertassistancefordeployment,configuration,playbooksetupandcustomization,andmore.2、FortiResponder,Fortinet’sMDRservice,offers24x7threatmonitoring,alerttriage,andremoteremediationservices.3、CertifiedFortinetMSSPpartnersdeliverMDRservicesincludingfullymanagedSOCs.

运行不受支持及未打补丁的传统系统的制造、石油和天然气、能源及运输等行业的企业很容易成为攻击者的目标。OT系统攻击危及业务连续性，并可能破坏关键基础设施，从而波及众多人员。

FortiEDR是唯一可确保OT系统高度可用的解决方案，即使在发生安全事件或遭到攻击期间也不例外。它能够防止、检测和消除威胁，同时确保设备始终在线。与此同时，获得专利的代码跟踪技术记录取证信息，并自动进行响应和修复。FortiEDR外形小巧，可支持并保护传统和嵌入式系统，同时不会影响系统性能。FortiEDR能够在物理隔离环境中保护OT及类似系统，并提供虚拟补丁和缓解控制措施，以防止系统在非维护窗口期遭到攻击。

FortiEDR能够有效保护销售点(POS)系统中的信用卡用户数据。它不仅通过了支付卡行业数据安全标准(PCIDSS)认证，而且能够在系统遭到攻击时防止数据泄露。此外，FortiEDR还可提供虚拟补丁，以防止POS系统在非例行维护窗口期遭到漏洞威胁侵害。在例行维护窗口期对POS系统进行修复时，FortiEDR也可确保其不受未知漏洞的侵害。它还支持嵌入式操作系统，占地空间小，并且不会影响系统性能（如果在IoT安全上做能力布局，这个还是比较关键的！）。

Fortinet专业服务会评估客户的当前安全运营状况，并与客户共同创建定制的安全实施计划，以确保成功和主动的运行：

FortiResponder托管检测与响应(MDR)服务专为FortiEDR高级端点安全平台客户设计。FortiResponderMDR服务为组织提供24x7全天候连续威胁监控、警报分类和事件处理服务，均由经验丰富的安全分析师和平台来完成。Fortinet专家将审查和分析每个警报，基于风险状况采取措施以确保客户环境安全，并为事件响应者和IT管理员提供详细的修复和后续行动建议。FortiResponderMDR服务有助于扩展当前运营规模，并进一步提高SOC成熟度。它提供：

许多企业客户都已认识到FortiEDR（以前称为enSilo）的高效性，并在GartnerPeerInsights中给予了积极反馈。下面是最终用户对FortiEDR的评价。

金融行业首席信息安全官

“EnSilo在各个方面都很高效。这款代理产品几乎不会产生任何成本，而且管理界面提供的信息非常详细，无需再进行搜索，最重要的是，它能够在拦截威胁时将对用户的影响降至最低。”

制造业高级安全分析师

"从销售到部署再到支持，enSilo全球团队始终为我们提供支持，使我们在与攻击者的博弈中重获优势。"

"enSilo能够有效防范零日攻击。将可疑活动表从“选择退出”更改为“选择加入”，即在完成活动分析之前，拦截可疑活动。."

其他行业IT主管

"这款工具业经精心设计，易于使用，有助于缓解网络风险。该产品可提供出色的高级防护，并将误报率降至最低，从而提升了业务技术的安全性和有效性。"

制造业安全风险管理人员

"enSilo只需大约3分钟便可完成事件分类，而我们的上一款厂商产品则需要长达30分钟。并且，它通过将异常情况内置到主用户界面中，并将所有功能集成到单个管理平台中，简化了初始调优。"

制造业企业开发/运营主管

"部署enSilo之后，我们释放出了大量内部资源来处理大型项目，同时为我们的企业提供了出色的恶意软件防护。"

"监控服务超棒!他们提供主动监控服务，并且在消除所有误报后，才会向内部团队上报警报。"

服务业安全分析师

"enSilo端点安全应用易于使用，并且十分高效。"

制造业安全架构师

"外形小巧的轻量级产品。enSilo具有复杂的检测和预防机制，能够提供对整个恶意软件攻击链的洞察。快速提供支持和响应客户请求、支持快速开发"

"即使设备已经遭到感染，该产品仍然可以防止设备遭到破坏。不妨通过PoC了解一下。"