VMware випустила оновлений AppDefense 2.3 для захисту віртуальної інфраструктури vSphere

VMware AppDefense дозволяє захищати віртуальну інфраструктуру vSphere за рахунок спостереження за нормальною мережевою активністю програм і виявлення підозрілих відхилень, викликаних шкідливим ПЗ. AppDefense входить до складу VMware vSphere Platinum.

VMware випустила оновлений AppDefense 2.3, де з'явилася маса нових можливостей.

1. Дія Process Kill як відповідь на загрозу, що виникла.

Раніше як відповідь на виявлене відхилення можна було використовувати дії вимкнення ВМ, створення снапшота або призупинення машини (suspend). Тепер є можливість завершити будь-який з підозрілих процесів усередині гостьової ОС

2. Поведінкові позначки часу (Behavior Timestamps).

У рамках концепції видачі тільки необхідних привілеїв користувачам або процесам для виконання своїх завдань, AppDefense дозволяє відслідковувати якийсь сервіс як поводився і, головне, коли востаннє це відбувалося (для цього є поле last seen)

Все це дуже допомагає при ретроспективному аналізі безпеки та аудиті подій, що відбувалися.

3. Поліпшення класифікації алертів та упорядкування вузьких місць на базі серйозності інцидентів.

Тепер алерти дуже детально поділяються за ступенем критичності, а звідси вже випливає наступне поліпшення - тепер для критичних подій можна зробити радикальні дії (вимкнути ВМ), а для невеликих відхилень - просто сповістити адміністратора або відключити сервіс.

4. Нові ролі для AppDefense SaaS portal.

Тепер можна розділяти ролі ще більш гранулярно і виділяти користувачам порталу лише найнеобхідніші привілеї. Наприклад, це можна зробити для співробітників сектору ІБ, а також команд SecOps.

5. Встановлення та апгрейд без перезавантажень.

Модуль AppDefense для гостьової ОС поставляється разом з VMware Tools, що дозволяє організувати дуже м'яку взаємодію з гостьовою системою, що не передбачає частих перезавантажень, навіть у разі апгрейду рішення. Для такого способу дій вам знадобиться VMware Tools 11 або пізніша версія пакета (де саме вбудована функція оновлення AddDefense без перезавантажень).

6. Підтримка DNS для дозволеної поведінки (Allowed Behaviors).

Тепер не потрібно шукати, для якої системи яку IP-адресу потрібно використовувати. Для налаштування дозволеної поведінки можна використовувати людські імена сервісів з DNS.

7. Підтримка VMware NSX-T.

Тепер AppDefense може працювати в комплексі з рішенням щодо агрегації та захисту мереж віртуального датацентру NSX-T (на додаток до NSX-V) для переведення віртуальних машин на карантин. Це дозволяє налаштовувати більш гранулярні дії у відповідь, які AppDefense робить як реакції на шкідливі дії.

8. Сканування на вразливість та приоритизація ризиків.

Ось приклад представлення "AppDefense 2.3 – VM OS Vulnerabilities View", що дозволяє оцінити наявні слабкі місця ОС

AppDefense 2.3 дозволяє пріоритизувати можливі ризики та уявити вузькі місця на дешбордах, яких досить багато в продукті.

Повний список нових можливостей та змін

Whats New (October, 2019)

AppDefense announces a significant feature release with version 2.3.0. Більшість невідповідно, будуть розповсюджені можливості для AppDefense Plugin в центрі включати невтішність розслідування, OS integrity, і поведінку ходу з технікою навчання. That’s right, we’re bringing Machine Learning models on premise.

On the SaaS side, we release a slew of features that have been top customer asks, including severity-based process kill (using the cloud to make prevention decisions), our first RBAC capabilities, and rebootless install/upgrade soth can start protecting your VMs without rebooting them.

Full list of new features:

Process Kill

AppDefense вирішує здатність до retroactively kill process, що в App Verification Cloud визначаються нестримними. Instead of blocking everything immediately, “процес kill” enables customers to operate in a semi-restrictive state—preventing only suspected bad behavior while allowing everything else to run. Виберіть “kill process” від клацнувши в сервісних правилах.

Behavior Timestamps 

З "behavior timestamps" feature, AppDefense нові reports on при behavior був останній executed within service. Це дозволяє клієнтам скористатися old behaviors, що app не довгі потреби, як добре визначено app's most recent executions. “Востаннє поле” поля знаходиться в AppDefense Manager на службі card-level, як добре, як на індивідуальний behavior-level.

Alert Classification Enhancements

AppDefense now lowers the severity of alert based on its overall similarity to existing allowed behaviors for this service. Цей вчинок дозволяє сервісним центрам для більш flexible і means less work for the operator.

AppDefense now also defines List of known processs that warrant further investigation. Deviations from processes in this list result in higher severity alerts.

SaaS User Roles

AppDefense now defines два user roles для роботи з SaaS Manager-"Admin" і "Analyst." Admins мають повні привілеї, включаючи user configuration and remediation settings (block, suspend, kill, etc). Analyst is the default user role and cannot change remediation settings. Для повного розв'язання відповідності, consult the user guide.

Rebootless Install and Upgrade

The AppDefense guest module може зараз бути upgraded without requiring a reboot. Це є majorimprovement in usability and operationalization for the solution. Ця особливість є доступною, якщо ваш модуль є 2.2.1 or higher.

Domain Name Support for Allowed Behaviors

AppDefense може бути створений зараз, щоб behaviors базувалися на DNS записах, як opposed to IP address. Це є значним збільшенням у визначенні міцних manifestів для послуг, що йдуть в кілька бігурів до monitorу і кількох звільнень від manifestу.

Severity-based Remediations

All remediation actions, except for block, now only get triggered by critical alerts. Всі інші дії (серйозні, minor, і info) будуть суттєво чутливі. Цей сприятливість повинна збільшити комфорт з розповсюдженням опірних дій, як тільки найбільш глибоких розв'язків буде генерувати дію.

Support for NSX-T

AppDefense зараз supports integration with NSX-T для quarantine remediation. AppDefense буде дотримуватися існуючої NSX-V integration.

Proxy Support

AppDefense adds SOCKS4 і SOCKS5 Proxy support for AppDefense Appliance, в додатку до існуючого HTTP Proxy support.

Health Monitoring for AppDefense Components

Якщо host або цей модуль стає необов'язковим, AppDefense активно поєднується з host і logs для immediate troubleshooting. Цей підхід є доступним в Appliance UI.

Upgrade Improvements

AppDefense announces рядок можливостей Improvements to make appliance upgrades simpler and more seamless. Один такий характер є здатність до автоматичного керування appliance back до тривалого штату в разі помилки. Automatic reversion збільшує комфорт з керуванням на “auto upgrade.” Цей характер є можливим в версії 2.2.1 і за умови, що ви збираєтеся на додаткову 60GB дискового простору для автоматизованого стрибка.

Increased Scale Targets

Appliance scale targets є вдосконаленими до 250 Hosts і 3000 VMs (per vCenter).

Intelligent Wildcarding

При цьому виконанні, AppDefense curates List of process CLIs, що мають великі wildcarded thresholds. Це характерні дії users greater control over key software in their environment.

Інші новини