Как удалить xagt
Подлинный файл является одним из компонентов программного обеспечения FireEye Endpoint Security, разработанного FireEye .
xAgt — это аббревиатура от xAgent
Xagt.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли xagt.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с xagt.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу FireEye Endpoint Agent. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы xagt.exe.
Информация о файле xagt.exe
Описание: xagt.exe не является необходимым для Windows. Файл xagt.exe находится в подпапках «C:\Program Files». Известны следующие размеры файла для Windows 10/11/7 4,300,312 байт (50% всех случаев) или 4,080,152 байт.
Нет более детального описания программы. Это не системный файл Windows. Поставлена цифровая подпись. У процесса нет видимого окна. Xagt.exe способен мониторить приложения. Поэтому технический рейтинг надежности 35% опасности.
Если есть проблемы с xagt.exe, то вы просто можете ее удалить (Пуск > Панель управления > Установка и удаление программ > FireEye Endpoint Agent).
Важно: Некоторые вредоносные программы маскируют себя как xagt.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл xagt.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Пока нет комментариев пользователей. Почему бы не быть первым, кто добавить небольшой комментарий и одновременно поможет другим пользователям?
Лучшие практики для исправления проблем с xagt
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с xagt. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса xagt.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
xagt сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
What is xagt.exe?
The genuine file is a software component of FireEye Endpoint Security by FireEye .
FireEye Endpoint Security is a single-agent security solution that protects endpoint systems from online threats. Xagt.exe runs a core process associated with FireEye Endpoint Security. Disabling this process may cause issues with this program.
FireEye Endpoint Security features automatic detection and prevention of exploits, including in-process activities, memory and application macro attacks, etc., caused by malware, Trojans, viruses, and other malicious code. Discovered threats may be easily quarantined. The program also provides in-depth analytical reports on all activities and incidents with a timeline.
FireEye, Inc. is an American cybersecurity firm that provides enterprise security solutions and services to large corporate clients. The company’s software has been used to investigate attacks against JP Morgan Chase, Target, Sony Pictures, and other high-profile clients. FireEye was founded in 2004 by Ashar Aziz through venture capital from Sequoia Capital. The company is one of the fastest growing security firms in the country with headquarters in Milpitas, California.
xAgt stands for xAgent
The .exe extension on a filename indicates an exe cutable file. Executable files may, in some cases, harm your computer. Therefore, please read below to decide for yourself whether the xagt.exe on your computer is a Trojan that you should remove, or whether it is a file belonging to the Windows operating system or to a trusted application.
Xagt.exe file information
Description: Xagt.exe is not essential for Windows and will often cause problems. The xagt.exe file is located in a subfolder of «C:\Program Files (x86)» (e.g. C:\Program Files (x86)\FireEye\xagt\). Known file sizes on Windows 10/11/7 are 5,856,792 bytes (20% of all occurrences), 34,456 bytes, 5,870,616 bytes, 4,080,152 bytes or 4,300,312 bytes.
The program is not visible. Xagt.exe is not a Windows system file. It is a file with no information about its developer. It is digitally signed. You can uninstall this program in the Control Panel. Xagt.exe is able to monitor applications. Therefore the technical security rating is 45% dangerous, however you should also read the user reviews.
Uninstalling this variant: In case you experience problems using xagt.exe, you could uninstall the program using the Control Panel ⇒ Uninstall a Program ⇒ FireEye Endpoint Agent or Trellix Endpoint Security Agent.
Important: Some malware camouflages itself as xagt.exe. Therefore, you should check the xagt.exe process on your PC to see if it is a threat. We recommend Security Task Manager for verifying your computer’s security. This was one of the Top Download Picks of The Washington Post and PC World.
Score
User Comments
This process belongs to FireEye https://www.fireeye.com/
Richard Bell
Summary: Average user rating of xagt.exe: based on 4 votes with 1 user comment. 2 users think it’s probably harmless. One user thinks it’s neither essential nor dangerous. One user thinks xagt.exe is dangerous and recommends removing it. One user is not sure about it.
Best practices for resolving xagt issues
A clean and tidy computer is the key requirement for avoiding problems with xagt. This means running a scan for malware, cleaning your hard drive using 1 cleanmgr and 2 sfc /scannow, 3 uninstalling programs that you no longer need, checking for Autostart programs (using 4 msconfig) and enabling Windows’ 5 Automatic Update. Always remember to perform periodic backups, or at least to set restore points.
Should you experience an actual problem, try to recall the last thing you did, or the last thing you installed before the problem appeared for the first time. Use the 6 resmon command to identify the processes that are causing your problem. Even for serious problems, rather than reinstalling Windows, you are better off repairing of your installation or, for Windows 8 and later versions, executing the 7 DISM.exe /Online /Cleanup-image /Restorehealth command. This allows you to repair the operating system without losing data.
To help you analyze the xagt.exe process on your computer, the following programs have proven to be helpful: A Security Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. B Malwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.
How to Fix Xagt.exe High CPU Usage? Follow the Guide to Do It!
This article on MiniTool Website is dedicated to showing you 6 methods to solve the problem of xagt.exe high CPU usage. These methods have proven to help to optimize your computer’s performance. Let’s fix it now!
Xagt.exe High CPU Usage
Xagt.exe is an executable file which is also known as FireEye Endpoint Agent. FireEye Endpoint Security can protect your computer from malware, vulnerabilities, and other potential threats. If a virus or malware is running in the background or there are issues with some installation date, it is likely to consume substantial GPU or CPU resources.
If CPU takes up too many resources, it will have a terrible influence on its performance. Therefore, it is critical to deal with xagt.exe high CPU usage problems.
How to Fix Xagt.exe High CPU Usage?
To help you analyze and resolve xagt.exe high CPU usage, the methods below have proved to be very useful.
Method 1: SFC Scan
To avoid xagt.exe high CPU usage, keeping a clean computer is of vital importance. SFC is a helpful inbuilt tool in Windows that can help to scan corrupted system files and restore the errors.
Step 1. Press Win + Q at the same time.
Step 2. Type cmd and right-click Command Prompt.
Step 3. Select Run as administrator.
Step 4. Open the black console window to paste sfc /scannow and then hit Enter.
Method 2. DISM Scan
For Windows 8 and newer versions, you prefer to execute the DISM scan rather than reinstall Windows. You can have a fuller picture in How To Use The DISM Command Tool In Windows 11. This fix can help you to troubleshoot system file errors without losing data.
Step 1. Type cmd in the search bar and right-click Command Prompt to choose Run as administrator.
Step 2. In the command line, copy and paste the following commands and hit Enter after each one.
DISM.exe /Online/Cleanup-Image /ScanHealth
DISM.exe /Online/Cleanup-Image /RestoreHealth
Step 3. Restart your computer to examine if xagt process high CPU persists.
Method 3: Check Disk Tool
Using Check Disk tool is another way to look for impaired system files.
Step 1. Right-click Command Prompt to Run as administrator.
Step 2. Paste chkdsk c: /f /r /x and hit Enter.
Step 3. Reboot your PC to check whether xagt.exe high CPU usage is fixed or not.
SFC, DISM and Check Disk are all free tools in Windows 10. CHKDSK vs ScanDisk vs SFC vs DISM Windows 10 [Differences] discusses the difference among them. Read this article you’ll have a moment of enlightenment!
Method 4: Disable xagt.exe
Xagt.exe is a resource-intense program that takes up much CPU space thus the system might be crashed if Windows runs it for a long time. As a consequence, disabling it may also work.
Step 1. Choose Run as administrator under Command Prompt.
Step 2. Right-click the taskbar to choose Task Manager.
Step 3. In the Startup interface, hit FireEye Endpoint Agent.
Step 4. when the new window opens up, click Disable.
Method 5: Uninstall FireEye Endpoint Agent
Step 1. Open Control Panel and click on Programs.
Step 2. Tap on Programs and features.
Step 3. Look for FireEye Endpoint Agent and right-click it.
Step 4. Hit Uninstall.
If you feel like reinstalling it, you can go to the manufacturer’s website for downloading and installation.
Method 6: Update Windows
An obsolete Windows version may be the culprit of xagt.exe high CPU usage hence you can solve this issue by updating your Windows to the latest version.
Step 1. Click Start and open Setting.
Step 2. Find Update & Security and click it.
Step 3. In Windows Update, there is a Check for updates button. Click it and the system will search for, download and install the latest version of Windows for you.
Step 4. Then the system will inform you to restart your computer and hit Restart now.
Step 5. Last, inspect if xagt.exe causing high CPU usage is fixed.
Update Windows 11/10 to Download & Install Latest Updates
Check how to update Windows 11/10 to download and install the latest updates to make your Windows PC or laptop run well.
Bottom Line
Are you bothered by xagt.exe high CPU usage? You must know how to solve this problem after reading this guide. Of course, if you have other ideas on xagt process high CPU, welcome to share your solutions below the comment area.
About The Author
Aurelie is a passionate soul who always enjoys researching & writing articles and solutions to help others. Her posts mainly cover topics related to games, data backup & recovery, file sync and so on. Apart from writing, her primary interests include reading novels and poems, travelling and listening to country music.
Обзор FireEye Endpoint Security (HX) — средства защиты рабочих станций от целевых атак
Обзор подробно описывает средство защиты от сложных и целенаправленных атак для рабочих станций FireEye Endpoint Security (HX), разработанное компанией FireEye — одним из мировых лидеров в области кибербезопасности. Решение обеспечивает защиту и мониторинг рабочих станций внутри и за пределами корпоративной сети, осуществляет автоматический поиск, выявление, идентификацию и нейтрализацию угроз.
Сертификат AM Test Lab
Номер сертификата: 198
Дата выдачи: 20.09.2017
Срок действия: 20.09.2022
- Введение
- Функциональные возможности FireEye HX
- Состав компонентов FireEye Endpoint Security
- Защита от целенаправленных атак средствами FireEye Endpoint Security
- 4.1. Обнаружение и идентификация угроз в FireEye Endpoint Security
- 4.2. Предотвращение целенаправленной атаки в FireEye Endpoint Security
- 4.3. Расследование целенаправленной атаки в FireEye Endpoint Security
- 4.4. Минимизация последствий целенаправленной атаки в FireEye Endpoint Security
Введение
Защита от сложных и целенаправленных атак (Advanced Persistent Threats, APT) —одна из ключевых проблем информационной безопасности последних лет. Целевая атака может быть направлена против конкретной организации, отрасли экономики или государственной структуры. Спланированные действия могут осуществлять наемные киберпреступники, террористические организации, иностранные спецслужбы. В настоящий момент нет универсального средства противодействия сложным и целенаправленным атакам, требуется комплексное решение по обеспечению безопасности на всех уровнях, включая подготовку и проверку персонала.
Компания FireEye, один из мировых лидеров по вопросам кибербезопасности, разработала широкий набор инструментов, применяемых для защиты от целенаправленных атак. Решения могут обеспечивать защиту как независимо друг от друга, так и совместно. Продукты FireEye нацелены на борьбу с вредоносными программами и обеспечивают глубокий анализ и корреляцию различных факторов и событий для обнаружения сложных атак.
На территории Российской Федерации продукты FireEye распространяются через ряд дистрибьютеров, в их число входит компания Axoft.
Рисунок 1. Компоненты защиты от сложных и целенаправленных атак платформы FireEye
Одним из ключевых моментов защиты от передовых атак является противодействие сложным угрозам на уровне рабочих станций. Реализация защиты на этом уровне позволяет получить выгодное соотношение «удобство-безопасность», позволяя перенести часть функций блокировки с охраняемого периметра сети на конечные точки, тем самым сохраняя функциональность всей системы и не замедляя бизнес-процессы.
Средство защиты FireEye НХ (полное название продукта — FireEye Endpoint Security) обеспечивает защиту от АРТ и предназначено для защиты конечных станций. Возможности обнаружения и реагирования на инциденты на конечных точках (Endpoint Detection and Response, EDR) позволяют быстро определить точный объем и уровень действий атаки, связанных как с известными, так и с неизвестными угрозами. С подробным контекстом блокированных и неизвестных угроз аналитики могут адаптировать систему защиты и ответы на все кибератаки.
FireEye HX состоит из двух компонентов:
- программного агента, обеспечивающего защиту рабочей станции и сбор информации, необходимой для поиска показателей компрометации (Indicators of Compromise, IoC) и расследования инцидентов;
- аппаратного контроллера, собирающего данные со всех агентов и обеспечивающего управление ими.
FireEye НХ использует следующие функции:
- сопоставление в реальном времени с базой данных показателей компрометации, которые могут поддерживаться FireEye посредством регулярных обновлений или автоматически совместно с сетевыми устройствами FireEye, а также создаваться вручную администратором;
- Triage Viewer и Audit Viewer для отслеживания и анализа показателей угроз;
- Enterprise Search для быстрого поиска и нейтрализации угроз;
- Exploit Guard для выявления процессов использования уязвимостей конечных станций и отправки оповещений;
- механизмы защиты от вредоносных программ для обнаружения известных угроз и вредоносного кода на основе подписей, поддерживаемых поставщиком.
Функциональные возможности FireEye HX
FireEye НХ обеспечивает противодействие всем известным атакам на конечные станции, основанным на использовании вредоносных файлов, эксплойтах и разведке.
Рисунок 2. Категории атак, направленные на конечные станции
Основные возможности FireEye НХ:
- защита и мониторинг станций внутри и за пределами корпоративной сети или за уровнем трансляции сетевых адресов (NAT);
- возможность быстрого развертывания агентов, в том числе и на удаленных компьютерах;
- поиск, выявление, идентификация и нейтрализация угроз;
- обнаружение вредоносных программ;
- тщательная проверка конечных станций и создание временных шкал по показателям компрометации;
- предоставление единого интерфейса администратора (контроллер FireEye HX в виде аппаратного устройства или виртуальной машины) для быстрого реагирования на инциденты безопасности, анализа использованных уязвимостью ресурсов конечной станции с помощью утилит Triage Viewer и Audit Viewer, а также для принятия ответных мер в системе Endpoint Security;
- изоляция скомпрометированного хоста для обеспечения безопасной среды для проведения удаленного всеобъемлющего расследования;
- централизованный сбор оповещений, системных данных и данных конечных станций в одном месте;
- настройка конфигурации функций продукта в зависимости от групп хостов;
- обмен информацией об угрозах между конечными точками и глобальной облачной сетью FireEye Dynamic Threat Intelligence (DTI);
- интеграция с SIEM-системами;
- соответствие Общим критериям и Федеральным стандартам обработки информации (FIPS).
Подробная информация о возможностях FireEye HX приведена ниже.
Состав компонентов FireEye Endpoint Security
Как уже было сказано выше, средство защиты FireEye НХ состоит из двух компонентов:
- контроллер FireEye НХ, поставляемый в виде специального аппаратного устройства либо виртуальной машины;
- агент FireEye НХ, устанавливаемый на защищаемых хостах.
Агент FireEye НХ — программный компонент, записывающий всю активность на конечной станции (операции с файлами, сетевая активность, изменение записей в реестре Windows, запуск процессов и загрузка DLL). Записи хранятся в кэше агента в течение нескольких дней и автоматически передаются на контроллер в виде пакета логов соответствующих событий (Triage) при возникновении инцидента на этой станции. Содержимое кэша агента можно также получить по требованию администратора.
Технология Agent Anywhere позволяет распространять агенты на удаленные конечные станции за пределами корпоративной сети и за NAT. Чтобы обеспечить высокий уровень безопасности системы защиты конечных точек, FireEye рекомендует развертывать выделенный DMZ-контроллер, который перехватывает связь между удаленными агентами и основным контроллером FireEye НХ в сети LAN.
Агенты поставляются в формате MSI с конфигурационным файлом и легко устанавливаются через корпоративные средства внедрения программного обеспечения (Enterprise Software Deployment, ESD). Процесс установки не требует перезагрузки конечной станции и действий со стороны пользователя. Агенты оснащены функцией автоматического обновления. После установки агента конечная станция автоматически попадает в систему НХ и доступна для мониторинга в интерфейсе администратора.
Рисунок 3. Схема распространения агентов FireEye НХ
Агент FireEye НХ совместим со следующими операционными системами:
- Microsoft Windows (XP SP2, Vista SP1, 7 SP1, 8, 8.1, 10);
- Microsoft Windows Server (2003 R2/SP2, 2008 R2/SP2, 2012 R2, 2016);
- macOS (Mavericks, Yosemite, El Capitan, Sierra);
- Red Hat Linux (6.8, 7.2, 7.3).
Аппаратный контроллер FireEye НХ предоставляет единую консоль администрирования и позволяет соотносить сетевую активность с активностью конечных станций. Это дает администраторам безопасности возможность автоматически получить подтверждение о том, действительно ли угроза, обнаруженная на сетевом уровне, была успешной на хосте. В результате администратор получает информацию об активности вредоносных программ на хосте и может немедленно начать расследование атаки.
Рисунок 4. Внешний вид контроллера FireEye НХ 4402
Устройство FireEye НХ 4402 действует как основной системный контроллер (так называемый LAN-контроллер). Опционально другой контроллер (устройство FireEye НХ 4400D) может быть развернут в демилитаризованной зоне клиента для перехвата связи между основным контроллером и удаленными агентами.
Взаимодействие компонентов FireEye НХ представлено ниже.
Рисунок 5. Взаимодействие компонентов FireEye НХ и других средств защиты информации
Контроллеры FireEye НХ доступны в качестве физического или виртуального устройства (Endpoint Security Virtual Appliance). Аппаратные контроллеры обеспечивают аналитическую емкость и поддерживают связь с 100 000 конечных точек сети, в то время как виртуальные версии контроллера FireEye НХ поддерживают до 15 000 агентов (HX 2502V) или до 100 000 агентов (HX 4502V).
Виртуальный контроллер является альтернативным вариантом для небольших организаций и обеспечивает управление агентами без снижения скорости обнаружения и реагирования на угрозы безопасности. Виртуальный контроллер использует ресурсы VMware.
Доступ к графическому интерфейсу администратора осуществляется через веб-интерфейс.
Рисунок 6. Главное окно консоли администратора FireEye НХ
Интерфейс консоли администратора используется для управления политиками агентов, для отслеживания и расследования инцидентов.
С помощью консоли администратора задаются ключевые политики безопасности. Параметры конфигурации позволяют выполнять детальную настройку функций агента FireEye HX. Конкретные профили политики могут быть назначены подмножеству защищенных хостов. FireEye HX предоставляет гибкие методы создания групп хостов (так называемые хост-установки).
Рисунок 7. Настройка обнаружения вредоносной активности в реальном времени
Рисунок 8. Настройка защиты от атак, использующих эксплойты
Защита от целенаправленных атак средствами FireEye Endpoint Security
Концепция защиты рабочих станций от целенаправленных атак заключается в непрерывном мониторинге и анализе активности станций для обнаружения (detect), предотвращения (prevent), расследования (analyze) атак и своевременного реагирования (respond) на инциденты.
Рисунок 9. Концепция FireEye НХ
Обнаружение и идентификация угроз в FireEye Endpoint Security
Основная идея обнаружения угроз и целенаправленных атак FireEye НХ заключается в присутствии средств анализа в точке, на которую направлена атака. Агенты FireEye НХ, установленные на конечных точках, автоматически получают необходимые правила для определения атак, IoC и обновления от других компонентов FireEye. Дополнительно существует возможность создания собственных правил определения атак (в форме IoC) и использовать их либо в режиме реального времени для обнаружения новых угроз, либо для поиска признаков заражения. При обнаружении компрометации рабочей станции в результате поиска по IoC на консоль администратора поступает предупреждение, содержащее подробные сведения об инциденте.
Рисунок 10. Инциденты, сгруппированные в соответствии с именами и типами IoC в интерфейсе администратора в FireEye НХ
FireEye НХ применяет как традиционный метод защиты конечных точек (Endpoint Protection Platform, EPP), так и средство Exploit Guard, использующее аналитические мощности FireEye для соотнесения множества отдельных событий между собой и выявления вредоносных или подозрительных действий. В средстве Exploit Guard реализованы методы обнаружения атак и реагирования на них (Endpoint Detection and Response, EDR). Эта функциональность FireEy HX использует результаты мероприятий по ненадлежащему реагированию, предоставляемых подразделением консультантов по безопасности FireEye Mandiant.
Средство защиты конечных точек FireEye НХ позволяет администратору установить:
- через какие векторы произошло проникновение в конечную станцию;
- совершена ли атака на конкретную конечную точку;
- произошло ли горизонтальное распространение атаки и на какие конечные точки;
- как долго одна или несколько конечных точек подвергались атаке;
- произошла ли эксфильтрация ценной информации;
- какие конечные точки и системы необходимо изолировать, чтобы предотвратить дальнейшее распространение атаки.
Рисунок 11. Детали оповещения, сгенерированного в результате выполнения подозрительной DLL, связанной с деятельностью по проверке учетных данных MIMIKATZ, на конкретной конечной станции
Рисунок 12. Детали оповещения, сгенерированного в результате исполнения эксплойта, использующего уязвимости Internet Explorer
Рисунок 13. Детали оповещения о записи подозрительного файла
Дополнительно администратору доступны функции проактивного корпоративного поиска Enterprise Search, который позволяет искать артефакты и признаки заражения по десяткам различных параметров и их комбинаций. Данный инструмент позволяет аналитикам отслеживать угрозы, не попадающие под настроенные показатели компрометации, создавать широкие поисковые запросы по каждой конечной станции или группе хостов и получать быстрый результат.
Рисунок 14. Инструмент проактивного корпоративного поиска Enterprise Search
Предотвращение целенаправленной атаки в FireEye Endpoint Security
После выявления нарушений безопасности на рабочей станции необходимо предотвратить дальнейшее распространение атаки и провести расследование инцидента. Администратор через консоль изолирует скомпрометированную станцию, блокируя ей любые сетевые взаимодействия, кроме связи с консолью управления FireEye НХ. Такой метод позволяет сохранить наибольший объем информации, связанной с атакой и хранящейся в энергозависимой памяти, во временных файлах и т.д.
Рисунок 15. Заблокированные рабочие станции в консоли FireEye НХ
В дополнение к автоматической профилактике эксплойтов, обнаруженных агентами FireEye НХ, вся сетевая связь станций может быть заблокирована и разблокирована администратором безопасности.
Рисунок 16. Изоляция скомпрометированной рабочей станции в консоли FireEye НХ
Средство Exploit Guard может выявлять подозрительный код и блокировать его активность на конечной станции до завершения действий, влекущих нарушение безопасности.
Рисунок 17. Пример блокирования вредоносного макроса, запускаемого после открытия документа Microsoft Word
После обнаружения и блокировки активности подозрительного эксплойта агент FireEye НХ отправляет оповещение на консоль FireEye НХ для дальнейшего рассмотрения.
Рисунок 18. Сведения об обнаруженном эксплойте
FireEye НХ может функционировать совместно с другими средствами защиты информации (антивирусы, хостовые системы обнаружения вторжений и т. д.), установленными на конечных точках. Для предотвращения конфликтов необходимо настроить соответствующие исключения для процессов и каталогов FireEye НХ.
FireEye НХ может использоваться как изолированно, так и в более продвинутом режиме интеграции с другими компонентами платформы FireEye. В последнем случае аппаратный контроллер НХ получает новые IoC, сформированные при обнаружении угроз в электронной почте системой FireEye Email Security (FireEye EX), в сетевом трафике решением FireEye Network Security (FireEye NX), на общих файловых ресурсах решением FireEye File Malware Protection System (FireEye FX), через центральную систему управления FireEye (Central Management System, CMS).
Рисунок 19. Интеграция FireEye НХ с другими компонентами платформы FireEye
FireEye НХ также обменивается данными об угрозах и IoC с облаком FireEye Dynamic Threat Intelligence (DTI) в зависимости от типа лицензии. При однонаправленной лицензии все устройства и агенты получают новые правила анализа и IoC из DTI. При двунаправленной лицензии в облако со стороны FireEye НХ отправляются обнаруженные угрозы и результаты применения IoC для их последующей валидации и гарантируют сохранение эффективности продуктов FireEye на протяжении всего их жизненного цикла.
Расследование целенаправленной атаки в FireEye Endpoint Security
Агент постоянно регистрирует все изменения, произошедшие на конечной точке (запуск процессов, доступ к файловой системе и реестру, установленные сетевые подключения и т. д.) и хранит их в кэше несколько дней. Эти логи постоянно проверяются по совпадению IoC. При обнаружении нового эксплойта или совпадении IoC агент формирует архив логов соответствующих событий (Triage), который включает сведения об активности процессов, связанных с инцидентом безопасности. Администратор безопасности в консоли управления анализирует содержимое Triage и принимает решение об изолировании скомпрометированной станции. Для детального расследования агент позволяет удаленно выгружать со станции файлы, дампы логов по любым процессам и событиям, историю команд shell, дампы оперативной памяти, жесткого диска и др.
Рисунок 20. Расследование целенаправленной атаки в консоли администратора FireEye НХ
Минимизация последствий целенаправленной атаки в FireEye Endpoint Security
В настоящее время FireEye HX не предоставляет инструменты для автоматического устранения следов заражения на скомпрометированной рабочей станции, поскольку этот процесс может удалить ценные артефакты, которые имеют решающее значение при расследовании инцидента. Как только расследование будет завершено, исправление может быть выполнено ИТ-персоналом. Кроме того, результаты анализа атак и нарушений безопасности с использованием FireEye HX являются ценным вкладом в дальнейшие обновления и улучшения политик системы безопасности компании.
Выводы
Средство защиты конечных точек FireEye НХ обеспечивает безопасность организации от современных сложных угроз. Оно является важным компонентом широкой платформы FireEye и реализует защиту на уровне рабочих станций, не ухудшая работоспособность информационной системы заказчика и сохраняя функциональность бизнес-процессов.
FireEye НХ содержит не только классический набор средств защиты от вредоносного кода и для обнаружения вторжений, но и расширенные методы расследования атак (Enterprise Search) и методы реагирования на них (Exploit Guard). Администратору предоставляются мощные инструменты расследования инцидентов, позволяющие проанализировать атаку и пути ее проникновения в систему для предотвращения подобных атак в дальнейшем и повышения безопасности организации.
Важным аспектом использования FireEye НХ является возможность быстрой изоляции скомпрометированной рабочей станции во время проведения расследования. Блокировка гарантирует сохранение важной информации, используемой при проведении расследования, и невозможность дальнейшего распространения атаки внутри локальной сети предприятия.
Простота развертывания и администрирования компонентов FireEye НХ снимает нагрузку с ИТ-персонала, позволяя направить силы на расследование и предотвращение атак. Агенты FireEye НХ поддерживают все популярные версии операционных систем Microsoft Windows и macOS. В недавнем выпуске программного обеспечения FireEye НХ добавлена поддержка Red Hat Linux.
Данный продукт подходит как для среднего бизнеса, так и для крупных корпораций.
Преимущества:
- Простота развертывания, масштабирования и управления продуктом.
- Широкий набор инструментов для расследования инцидентов, использующих лучшие методы, разработанные в ходе реагирования на инциденты, проводимые Mandiant (подразделение FireEye).
- Блокировка скомпрометированной рабочей станции для анализа целенаправленной атаки и предотвращения ее дальнейшего распространения внутри сети.
- Интеграция с другими продуктами FireEye и SIEM-системами.
- Комплексный интерфейс API, который делает возможной интеграцию с сторонними системами.
Недостатки:
- Отсутствие русской локализации.
- Отсутствие сертификата соответствия новым требованиям ФСТЭК России к системам обнаружения вторжений.