Tarvitset WithSecure™-Business Accountin, jotta voit käyttää Elements Security Center ↗-hallintaportaalia, joka kattaa kaikki WithSecure™ Elements -tuotteet.
Kun teet ostoksen WithSecure-kumppanilta, kumppani luo yleensä ensimmäisen järjestelmänvalvojan tilisi ja lähettää sinulle sähköpostiviestin, jossa on väliaikainen salasana. Jos tiliäsi ei ole vielä luotu, mutta sinulla on tilausavain, siirry osoitteeseen elements.withsecure.com/self-register ↗ ja luo tili.
Elements EDR toimii siten, että jokaiseen valvottavaan laitteeseen asennetaan kevyt anturi. Anturi kerää käyttäytymistietoja – tiedostojen käyttöä, prosessien luomista, verkkoyhteyksiä, rekisterimuutoksia – ja lähettää ne taustajärjestelmään analysoitavaksi.
Ennen käyttöönottoa
Jotta tunnistuksen kattavuus olisi mahdollisimman hyvä, noudata näitä suosituksia kohdelaitteissa ennen asennusta:
- Windows: Varmista, että Windowsin tarkastuskäytäntö on määritetty tuottamaan tietoturvalokitapahtumia. Varmista myös, että PowerShell ScriptBlock -lokitallennus ei ole pois käytöstä — sen poistaminen käytöstä rajoittaa havaitsemiskykyä.
- Linux: Parhaan suorituskyvyn saavuttamiseksi käytä ytimen versiota 5.10 tai uudempaa. Jos käytät ytimen versiota 3.16 tai vanhempaa, varmista, että
auditdon asennettu ja määritetty oikein.
Asenna anturi
Elements EDR tukee Windowsia (työasemia ja palvelimia), Macia ja Linuxia. Valitse ympäristöösi sopiva menetelmä:
- Sähköpostikutsu — sopii pienelle määrälle laitteita. Siirry kohtaan Ympäristö > Laitteet, valitse Laitteet-kohdan vieressä oleva kolmen pisteen kuvake, valitse Lisää uusi laite ja seuraa ohjatun toiminnon ohjeita lähettääksesi käyttäjille latauslinkin.
- Lataa asennusohjelma — sopii laajempiin käyttöönottoihin. Siirry sivupalkin Lataukset-kohtaan, valitse alustallesi sopiva paketti (EXE tai MSI Windowsille, MPKG Macille, DEB/RPM/tar Linuxille), valitse tilausavain ja lataa. Avain on upotettu asennusohjelmaan.
Kun anturi on asennettu, varmista sen toiminta käynnistämällä Broad Context Detectionin testaus. Tavalliset käyttäjät eivät käytä komentoa ` whoami `, joten se tuottaa luotettavasti tunnistustuloksen.
- Kirjaudu sisään valvottavaan päätelaitteeseen, johon anturi on asennettu.
- Avaa komentokehote ja suorita komento: whoami
- Suorita komento `
exit` sulkeaksesi komentokehotteen ja kirjaudu sitten ulos päätelaitteesta. - Siirry Elements Security Centerissä kohtaan Tapahtumat > Broad Context Detection. Havainto pitäisi näkyä muutaman minuutin kuluessa.
Kun todellinen havainto ilmenee
Jokaisessa havainnossa näkyy riskitasopisteet, luotettavuus ja kriittisyys, joiden avulla voit määrittää prioriteetit. Valitse havainto, niin näet prosessipuun, lokinäkymän ja siihen liittyvät tapahtumat. Sieltä voit ryhtyä vastatoimiin – kuten eristää isäntäkoneen verkosta – tai siirtää tapauksen WithSecure-asiantuntijoiden käsiteltäväksi Elevate to WithSecure -toiminnon avulla.
Vinkki: Lisätietoja PowerShellin avulla tehtävistä edistyneistä testeistä löytyy Elements EDR -käyttöoppaan liitteestä A.
Käyttöopas — Elements Endpoint Detection and Response
Kattava dokumentaatio, joka käsittelee käyttöönottomenetelmiä, tutkintaprosesseja, reagointitoimenpiteitä, parhaita käytäntöjä ja paljon muuta
WithSecure Community
Pysy ajan tasalla tuoteilmoituksista ja muutospäiväkirjoista, saa vastauksia kysymyksiisi ja jaa tuoteideoita
Tietokanta
Vianmääritys- ja ohjeartikkelit, jotka käsittelevät anturien käyttöönottoa, Broad Context Detectionia, reagointitoimenpiteitä ja isäntäkoneen eristämistä