VMware выпустила обновленный AppDefense 2.3 для защиты виртуальной инфраструктуры vSphere
VMware выпустила обновленный AppDefense 2.3 для защиты виртуальной инфраструктуры vSphere
VMware AppDefense позволяет защищать виртуальную инфраструктуру vSphere за счет наблюдения за нормальной сетевой активностью приложений и выявления подозрительных отклонений, вызываемых вредоносным ПО. AppDefense входит в состав VMware vSphere Platinum.
VMware выпустила обновленный AppDefense 2.3, где появилась масса новых возможностей.
1. Действие Process Kill как ответ на возникшую угрозу.
Ранее в качестве ответной реакции на выявленное отклонение можно было использовать действия выключения ВМ, создание снапшота или приостановка машины (suspend). Теперь же есть возможность завершить любой из подозрительных процессов внутри гостевой ОС
2. Поведенческие отметки времени (Behavior Timestamps).
В рамках концепции выдачи только необходимых привилегий пользователям или процессам для исполнения своих задач, AppDefense позволяет отслеживать какой сервис как себя вел и, главное, когда в последний раз это происходило (для этого есть поле last seen)
Все это очень помогает при ретроспективном анализе безопасности и аудите происходивших событий.
3. Улучшения классификации алертов и приведение в порядок узких мест на базе серьезности инцидентов.
Теперь алерты очень детально разделяются по степени критичности, а отсюда уже следует следующее улучшение - теперь для критичных событий можно сделать радикальные действия (выключить ВМ), а для небольших отклонений - просто оповестить администратора или отключить сервис.
4. Новые роли для AppDefense SaaS portal.
Теперь можно разделять роли еще более гранулярно и выделять пользователям портала только самые необходимые привилегии. Например, такое можно сделать для сотрудников сектора ИБ, а также команд SecOps.
5. Установка и апгрейд без перезагрузок.
Модуль AppDefense для гостевой ОС поставляется вместе с VMware Tools, что позволяет организовать очень мягкое взаимодействие с гостевой системой, не подразумевающее частых перезагрузок, даже в случае апгрейда решения. Для такого образа действий вам потребуется VMware Tools 11 или более поздняя версия пакета (где как раз встроена функция обновления AddDefense без перезагрузок).
6. Поддержка DNS для разрешенного поведения (Allowed Behaviors).
Теперь не нужно искать, для какой системы какой IP-адрес нужно использовать. Для настройки разрешенного поведения можно использовать человеческие имена сервисов из DNS.
7. Поддержка VMware NSX-T.
Теперь AppDefense может работать в комплексе с решением по агрегации и защите сетей виртуального датацентра NSX-T (в дополнение к NSX-V) для переведения виртуальных машин на карантин. Это позволяет настраивать более гранулярные ответные действия, которые AppDefense предпринимает как реакции на вредоносные действия.
8. Сканирование на уязвимости и приоритизация рисков.
Вот пример представления "AppDefense 2.3 – VM OS Vulnerabilities View", которое позволяет оценить имеющиеся слабые места ОС
AppDefense 2.3 позволяет приоритизировать возможные риски и представить узкие места на дэшбордах, которых весьма немало в продукте.
Полный список новых возможностей и изменений
Whats New (October, 2019)
AppDefense announces a significant feature release with version 2.3.0. Most notably, we have expanded the capabilities of the AppDefense Plugin in vCenter to include vulnerability assessment, OS integrity, and behavior analysis with Machine Learning. That’s right, we’re bringing Machine Learning models on premise.
On the SaaS side, we release a slew of features that have been top customer asks, including severity-based process kill (using the cloud to make prevention decisions), our first RBAC capabilities, and rebootless install/upgrade so that you can start protecting your VMs without rebooting them.
Full list of new features:
Process Kill
AppDefense adds the ability to retroactively kill processes that the App Verification Cloud determines are untrusted. Instead of blocking everything immediately, “process kill” enables customers to operate in a semi-restrictive state—preventing only suspected bad behavior while allowing everything else to run. Select “kill process” from the dropdown list in the service rules.
Behavior Timestamps
With the “behavior timestamps” feature, AppDefense now reports on when a behavior was last executed within a service. This allows customers to clean up old behaviors that an app no longer needs, as well as determine an app’s most recent executions. The “last seen” field is exposed in the AppDefense Manager at the service card-level, as well as at the individual behavior-level.
Alert Classification Enhancements
AppDefense now lowers the severity of an alert based on its overall similarity to the existing allowed behaviors for that service. This improvement allows the service behaviors to be more flexible and means less work for the operator.
AppDefense now also defines a list of known processes that warrant further investigation. Deviations from processes in this list result in higher severity alerts.
SaaS User Roles
AppDefense now defines two user roles for the operation of the SaaS Manager—“Admin” and “Analyst.” Admins have full privileges, including user configuration and remediation settings (block, suspend, kill, etc). Analyst is the default user role and cannot change remediation settings. For a complete breakdown of responsibilities, consult the user guide.
Rebootless Install and Upgrade
The AppDefense guest module can now be upgraded without requiring a reboot. This is a major improvement in usability and operationalization for the solution. This feature is available if your guest module is 2.2.1 or higher.
Domain Name Support for Allowed Behaviors
AppDefense can now create allowed behaviors based on DNS records, as opposed to IP addresses. This is a major improvement in determining robust manifests for a service, resulting in fewer behaviors to monitor and fewer deviations from the manifest.
Severity-based Remediations
All remediation actions, except for block, now only get triggered by critical alerts. All other events (serious, minor, and info) will simply alert. This enhancement should increase comfort with deploying remediation actions, as only the most critical deviations will generate an action on the guest.
Support for NSX-T
AppDefense now supports integration with NSX-T for quarantine remediation. AppDefense will continue to support the existing NSX-V integration.
Proxy Support
AppDefense adds SOCKS4 and SOCKS5 Proxy support for the AppDefense Appliance, in addition to the existing HTTP Proxy support.
Health Monitoring for AppDefense Components
If a host or guest module becomes unreachable, AppDefense proactively collects host and guest logs for immediate troubleshooting. This setting is available in the Appliance UI.
Upgrade Improvements
AppDefense announces a number of usability improvements to make appliance upgrades simpler and more seamless. One such feature is the ability to automatically roll the appliance back to a stable state in case of failure. Automatic reversion increases comfort with turning on “auto upgrade.” This feature is available in appliance versions 2.2.1 and onward when you partition an additional 60GB of disk space for the automated snapshot.
Increased Scale Targets
Appliance scale targets are increased again to 250 Hosts and 3000 VMs (per vCenter).
Intelligent Wildcarding
With this release, AppDefense curates a list of process CLIs that have higher wildcarded thresholds. This feature gives users greater control over key software in their environment.
