EDR وإدارة نقاط النهاية
توفر صفحة EDR (اكتشاف نقطة النهاية والاستجابة لها) رؤية لجميع نقاط النهاية المُدارة مع إمكانات العزل والفحص والاستجابة المباشرة.
نظرة عامة على نقطة النهاية
جدول نقطة النهاية
| عمود | وصف |
|---|---|
| اسم المضيف | اسم مضيف النظام |
| نظام التشغيل | نظام التشغيل والإصدار |
| عنوان IP | عنوان الشبكة الأساسي |
| حالة الوكيل | وكيل EDR متصل / غير متصل |
| درجة المخاطر | المخاطر المحسوبة (0-100) |
| الفحص الأخير | أحدث طابع زمني للفحص |
| عزل | معزولة / متصلة |
| ** تنبيهات مفتوحة ** | عدد التنبيهات التي لم يتم حلها لنقطة النهاية هذه |
الإجراءات الرئيسية
عزل نقطة النهاية
يعد عزل الشبكة أحد إجراءات الاحتواء المهمة:
يؤدي عزل نقطة النهاية إلى قطع كافة سبل الوصول إلى الشبكة باستثناء قناة إدارة EDR. سيؤدي هذا إلى قطع اتصال المستخدمين وإيقاف تشغيل الخدمات. تحقق دائمًا من اسم المضيف المستهدف قبل التنفيذ.
مسح نقطة النهاية
تشغيل فحص الأمان عند الطلب:
- الفحص السريع — العمليات الجارية واتصالات الشبكة والمهام المجدولة
- فحص كامل — فحص كامل لنظام الملفات، وتحليل التسجيل، وفحص الذاكرة
- مسح IOC — البحث عن مؤشرات محددة (التجزئة، عناوين IP، المجالات، مسارات الملفات)
الاستجابة الحية
لإجراء تحقيق متقدم، ابدأ جلسة استجابة مباشرة:
- تنفيذ الاستعلامات مقابل نقطة النهاية
- جمع ملفات محددة كدليل
- تعداد العمليات الجارية واتصالات الشبكة
- البحث عن المؤشرات عبر نظام الملفات
- استرداد سجلات الأحداث
نقاط النهاية للمخاطر
تتلقى كل نقطة نهاية درجة مخاطرة محسوبة بناءً على:
| عامل | وزن | وصف |
|---|---|---|
| ** تنبيهات مفتوحة ** | 30% | عدد وخطورة التنبيهات التي لم يتم حلها |
| حالة التصحيح | 25% | تحديثات أمنية مفقودة |
| إعدادات | 20% | الانحراف عن تصلب خط الأساس |
| مخاطر المستخدم | 15% | درجة المخاطر للمستخدم (المستخدمين) الذي قام بتسجيل الدخول |
| تاريخية | 10% | تاريخ الحادثة الماضية |
يتم وضع علامة على نقاط النهاية ذات درجات المخاطرة الأعلى من 75 تلقائيًا للمراجعة.
أدوات EDR المتاحة
يتمتع وكيل Endpoint Security بإمكانية الوصول إلى أداتين أساسيتين من أدوات MCP:
عزل نقطة النهاية
class IsolateEndpoint(AuroraTool):
"""Network-isolate a compromised host via the EDR platform."""
# Supports: hostname, isolation_type (full/selective), reason
# Returns: isolation status, timestamp, reversal instructions
ScanEndpoint
class ScanEndpoint(AuroraTool):
"""Execute an on-demand scan across endpoint telemetry."""
# Supports: hostname, scan_type (quick/full/ioc), targets
# Returns: findings, risk assessment, recommended actions
يتم استدعاء كلتا الأداتين بواسطة وكلاء الذكاء الاصطناعي أثناء التحقيق الآلي ولكن يمكن أيضًا تشغيلهما يدويًا من خلال لوحة المعلومات.