Symantec EDR

Informações básicas

O Broadcom Symantec EDR (Detecção e Resposta de Endpoint) é uma solução de segurança projetada para detecção, investigação e resposta avançadas a ameaças em endpoints. Geralmente, é integrado à plataforma mais abrangente Symantec Endpoint Security Complete (SES-C).

• Modelo: Symantec EDR (parte do Symantec Endpoint Security Complete). Os modelos específicos de hardware incluem S550, 8840 e 8880.
• Versão: As versões do appliance incluem o Symantec EDR 4.12 (última versão estável). As versões do agente para o Symantec Endpoint Protection (SEP) são normalmente a 14.3 RUx, com a versão 14.3 RU9 MP1 compatível com o Ubuntu 24.04 LTS.
• Data de lançamento: As datas específicas de lançamento do produto não são publicadas de forma consistente, mas novos recursos e versões são lançados periodicamente. Por exemplo, novos recursos de visibilidade foram adicionados por volta de 2 de novembro de 2020.
• Requisitos mínimos: Variam significativamente de acordo com o tipo de implantação (agente, dispositivo virtual, dispositivo físico) e os recursos habilitados.
• Sistemas Operacionais Compatíveis:
  • Windows: Diversas versões, com sistemas operacionais de 32 bits não sendo mais suportados pelo SEP 14.3 RU6 e versões posteriores.
  • Linux: Amazon Linux, CentOS, Debian, Fedora, Oracle Linux (OEL), Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES), SUSE Linux Enterprise Desktop (SLED) e Ubuntu (por exemplo, 12.04, 14.04, 16.04, 18.04, 24.04 LTS).
  • macOS: Compatível com um agente dedicado.
• Última versão estável: Symantec EDR 4.12 para o dispositivo. Agente Symantec Endpoint Protection 14.3 RU9 MP1 para Linux.
• Data de Fim do Suporte: Varia de acordo com a versão do produto e o componente. O recurso Sensor de Rede do Symantec EDR atingiu o Fim do Suporte em 31 de dezembro de 2023. As versões 14.2 e anteriores do Symantec Endpoint Protection também estão em Fim de Serviço. Os usuários devem consultar a página do Ciclo de Vida do Produto da Broadcom para obter datas específicas.
• Data de Fim de Vida: Varia de acordo com a versão e o componente do produto. O Symantec Endpoint Protection Cloud (SEPC) e a versão Small Business 2013 (SEP SBE 2013) atingiram o fim de sua vida útil em 7 de dezembro de 2020, com atualizações gratuitas para o Symantec Endpoint Security (SES). Os usuários devem consultar a página do Ciclo de Vida do Produto da Broadcom para obter datas específicas.
• Data de expiração da atualização automática: Não especificada explicitamente na documentação disponível publicamente.
• Tipo de licença: Normalmente baseada em assinatura.
• Modelo de implantação: As opções de implantação flexíveis incluem configurações locais (hardware ou dispositivo virtual), baseadas em nuvem ou híbridas.

Requisitos técnicos

Os requisitos técnicos do Symantec EDR dependem muito do modelo de implantação (agente, dispositivo virtual ou dispositivo físico) e dos recursos específicos ativados, como o Gravador de Atividades de Endpoint.

• BATER:
  • Agente (Windows): Mínimo de 256 MB.
  • Agente (Linux): Mínimo de 512 MB (4 GB recomendados).
  • Dispositivo virtual EDR: mínimo de 48 GB (para ambientes de produção, com ou sem o Gravador de Atividade de Endpoint).
  • Dispositivos de hardware (ex.: S550, 8840, 8880): Capacidades que variam de 32 GB a 256 GB.
  • Gateway do Active Directory: 16 GB (para domínios grandes do Active Directory, pode ser necessário mais espaço).
• Processador:
  • Agente (Windows): Intel Pentium de 1 GHz.
  • Agente (Linux): Intel Pentium 4 (2 GHz) ou equivalente com 2 núcleos (4 núcleos recomendados).
  • Dispositivo virtual EDR: 12 núcleos.
  • Dispositivos de hardware: As configurações variam, como 12 x 1, 1 x 4 ou 2 x 18 núcleos.
• Armazenar:
  • Agente (Windows): 245 MB instalados na unidade do sistema.
  • Agente (Linux): 2 GB de espaço em disco disponível (+5 GB recomendados em /opt para recursos EDR).
  • Dispositivo virtual EDR: 500 GB (sem o Gravador de Atividades de Endpoint), 1,5 TB (com o Gravador de Atividades de Endpoint).
  • Dispositivos de hardware: As configurações variam, como 500 GB + 1 TB, 1,6 TB + 14 TB ou 2 discos de inicialização SATA de 64 GB + 4 discos SAS de 12 TB.
• Tela: Presume-se que a tela tenha capacidade padrão; não há requisitos específicos listados.
• Portas: São necessárias portas específicas do firewall para a comunicação entre os componentes do EDR e os servidores de backend.
• Sistema Operacional: Consulte a seção "Informações Básicas" para obter informações sobre os sistemas operacionais compatíveis com agentes e plataformas de dispositivos (por exemplo, VMware ESXi 7.0 ou posterior para dispositivos virtuais).

Análise dos Requisitos Técnicos: Os requisitos técnicos para o Symantec EDR são substanciais, principalmente para implantações em appliances e quando recursos avançados como o Gravador de Atividades de Endpoint estão habilitados. Isso reflete as necessidades intensivas de processamento e armazenamento de dados de uma solução EDR abrangente. As organizações devem dimensionar cuidadosamente suas implantações com base no número de endpoints e no conjunto de recursos desejado para garantir o desempenho ideal e evitar gargalos de recursos. Implantações em appliances virtuais exigem recursos dedicados para evitar problemas de desempenho.

Suporte e compatibilidade

O Symantec EDR oferece ampla compatibilidade com diversos sistemas operacionais e integra-se com outros produtos de segurança da Symantec.

• Última versão: A versão estável mais recente do appliance é o Symantec EDR 4.12. As versões do agente são atualizadas continuamente, com o Symantec Endpoint Protection 14.3 RU9 MP1 oferecendo suporte às distribuições Linux mais recentes.
• Suporte a sistemas operacionais: Suporte abrangente para Windows moderno (principalmente 64 bits), macOS e uma ampla variedade de distribuições Linux. Sistemas operacionais Windows de 32 bits mais antigos não são mais suportados pelas versões recentes do agente SEP.
• Data de Fim do Suporte: As datas de Fim do Suporte (EoS) e Fim da Vida Útil (EoL) são específicas para cada versão e componente. Por exemplo, o recurso Sensor de Rede do Symantec EDR atingiu o EoL em 31 de dezembro de 2023. O Symantec Endpoint Protection 14.2 e versões anteriores estão em Fim de Serviço. A Broadcom mantém uma página de Ciclo de Vida do Produto com informações atualizadas.
• Localização: A documentação e os recursos de suporte estão disponíveis em vários idiomas, incluindo inglês e japonês.
• Drivers disponíveis: Os drivers e componentes necessários geralmente estão incluídos nas instalações do agente. A Broadcom valida as velocidades de operação do disco usando drivers da VMware para dispositivos virtuais.

Análise do Status Geral de Suporte e Compatibilidade: O Symantec EDR demonstra forte compatibilidade com os principais sistemas operacionais, refletindo seu foco corporativo. As atualizações contínuas das versões do agente garantem suporte para versões mais recentes dos sistemas operacionais. No entanto, as organizações devem monitorar ativamente as datas de fim de suporte (EoS) e fim de vida útil (EoL) de suas versões e componentes específicos para manter as configurações suportadas. A descontinuação do suporte ao Windows de 32 bits indica uma mudança para ambientes modernos de 64 bits. A integração com o Symantec Endpoint Protection (SEP) é um aspecto fundamental de sua compatibilidade, sendo necessárias versões específicas do SEP para a funcionalidade ideal do EDR.

Estado de segurança

O Broadcom Symantec EDR proporciona uma postura de segurança robusta por meio de recursos avançados de detecção, prevenção e resposta, aproveitando a inteligência artificial e a inteligência global contra ameaças.

• Recursos de segurança:
  • Detecção Avançada de Ameaças: Utiliza aprendizado de máquina de precisão, análise comportamental e inteligência global de ameaças para detectar ataques sofisticados, incluindo malware, ransomware, ameaças de dia zero, detecção de violações, sinalização de comando e controle e movimentação lateral.
  • Resposta automatizada a incidentes: Suporta regras automatizadas de protocolos de incidentes e análise do comportamento do usuário para aumentar a produtividade dos investigadores. Fornece ações de remediação rápidas, como exclusão de arquivos, inclusão em listas negras e quarentena de endpoints.
  • Redução da superfície de ataque: Inclui recursos como controle de dispositivos, controle de aplicativos e isolamento comportamental.
  • Prevenção de ataques: Oferece prevenção contra exploits e malware baseada em aprendizado de máquina, prevenção baseada em comportamento, integridade de rede, reputação de Wi-Fi e VPN inteligente.
  • Prevenção de violações: Incorpora tecnologias de engano, defesa do Active Directory (prevenindo roubo de credenciais e movimentação lateral), firewall de rede e prevenção de intrusões.
  • Visibilidade de endpoints: Fornece gravação contínua e sob demanda da atividade do sistema para visibilidade completa dos endpoints e análise forense.
• Vulnerabilidades conhecidas: As informações disponíveis publicamente não detalham vulnerabilidades específicas conhecidas para o produto EDR atual, o que implica em gerenciamento ativo e aplicação de patches por parte do fornecedor.
• Status da lista negra: Suporta a inclusão de arquivos e aplicativos em listas negras para contenção rápida.
• Certificações: Obtém classificação AAA da SE Labs por defesa perfeita contra ransomware em situações reais, com zero falsos positivos. Participa de rigorosas avaliações do MITRE ATT&CK.
• Suporte à criptografia: Embora não seja explicitamente detalhado como um recurso EDR direto, é um componente fundamental das ofertas de segurança mais abrangentes da Symantec.
• Métodos de autenticação: Suporta integração com o Microsoft Active Directory e Single Sign-On (SSO) para autenticação e gerenciamento de usuários.
• Recomendações gerais: Implemente monitoramento contínuo, aproveite a geração automatizada de incidentes e utilize inteligência global de ameaças. Recomenda-se a atualização regular para as versões mais recentes para garantir segurança e desempenho ideais.

Análise da Classificação Geral de Segurança: O Symantec EDR demonstra uma alta classificação geral de segurança, caracterizada por sua estratégia de defesa em múltiplas camadas que abrange todo o ciclo de vida do ataque, da prevenção à remediação pós-invasão. Sua dependência de IA, aprendizado de máquina e inteligência global de ameaças permite a detecção eficaz de ameaças avançadas e evasivas. Validações independentes, como a classificação AAA da SE Labs e o forte desempenho nas avaliações MITRE ATT&CK, reforçam sua eficácia contra ataques reais, particularmente ransomware. A integração com o Active Directory Defense é um recurso importante para prevenir movimentação lateral e roubo de credenciais.

Desempenho e indicadores de desempenho

O Symantec EDR apresenta um desempenho sólido em funções críticas de segurança, validado por testes independentes, embora alguns comentários de usuários apontem para possíveis problemas de utilização de recursos.

• Pontuações de referência:
  • SE Labs: Obteve a classificação AAA perfeita para a Proteção EDR de Segurança Avançada, com 100% de sucesso na detecção e proteção contra ransomware, sem falsos positivos em testes práticos.
  • Avaliações MITRE ATT&CK: Demonstrou um desempenho sólido, bloqueando 85% dos ataques na avaliação APT29.
• Métricas de desempenho no mundo real:
  • Detecta, bloqueia e neutraliza eficazmente ransomware e outros ataques sofisticados em ambientes que simulam cenários da vida real.
  • Os usuários relatam que ele oferece proteção confiável e consistente, além de ser eficaz na detecção de ameaças.
  • Alguns usuários relataram problemas de utilização da CPU, o que pode afetar ambientes de produção.
  • De modo geral, alguns consideram que o agente funciona de forma "bastante leve" em segundo plano, enquanto outros notam um agente mais pesado em comparação com os concorrentes.
• Consumo de energia: Não detalhado explicitamente na documentação disponível publicamente.
• Pegada de carbono: Não detalhada explicitamente em documentação disponível ao público.
• Comparação com ativos semelhantes:
  • Em comparação com o CrowdStrike Falcon: o Symantec EDR leva vantagem em segurança bruta, enquanto o CrowdStrike geralmente se destaca em recursos de gerenciamento e resposta. Ambos apresentam desempenho comparável nas avaliações do MITRE ATT&CK. O CrowdStrike é frequentemente citado por seu agente leve e impacto mínimo no desempenho dos endpoints, contrastando com algumas percepções sobre o agente da Symantec. O Symantec EDR se destaca em Prevenção de Intrusões (9,4) e Remediação Automatizada (9,1) em comparação com o CrowdSec.
  • Em comparação com o SanerNow: o Symantec EDR apresenta melhor detecção de malware (9,3) e monitoramento de conformidade (8,6), enquanto o SanerNow se destaca pela facilidade de configuração e qualidade do suporte.

Análise do Desempenho Geral: O Symantec EDR demonstra excelente desempenho em sua função principal de detecção e prevenção de ameaças, especialmente contra ransomware, como evidenciado por pontuações de benchmarks independentes de alto nível. Seus recursos de detecção em tempo real e resposta automatizada são robustos. Embora sua eficácia em segurança seja altamente avaliada, alguns comentários de usuários sugerem que a otimização de desempenho e o uso de recursos do sistema podem ser áreas de melhoria, principalmente quando comparado a concorrentes nativos da nuvem conhecidos por seus agentes leves.

Avaliações e comentários dos usuários

As avaliações dos usuários do Broadcom Symantec EDR destacam seus recursos robustos de segurança, embora algumas áreas, como facilidade de uso e consistência do suporte, recebam feedback misto.

• Pontos fortes:
  • Análise e Detecção Abrangentes de Ameaças: Elogiada por sua capacidade de detectar, isolar e eliminar intrusões usando IA, aprendizado de máquina e inteligência global de ameaças. Os usuários apreciam sua detecção em tempo real e filtragem avançada.
  • Prevenção e Remediação Robustas: Destaca-se na prevenção de intrusões e na remediação automatizada, permitindo respostas rápidas a ameaças. Detecta ameaças com eficácia e oferece proteção confiável e consistente.
  • Gerenciamento Empresarial: Considerado fácil de implantar, configurar e gerenciar em diversos endpoints em ambientes corporativos.
  • Integração: Integra-se bem com outros aplicativos e ecossistemas de segurança.
• Pontos fracos:
  • Facilidade de uso: Alguns usuários consideram a interface menos intuitiva em comparação com os concorrentes, o que resulta em uma pontuação ligeiramente inferior em facilidade de uso.
  • Qualidade do suporte: O feedback sobre a qualidade do suporte é misto, com alguns usuários indicando que há espaço para melhorias na capacidade de resposta e na prestatividade.
  • Utilização de recursos: Foram relatados problemas de utilização da CPU, que podem impactar a produção. Os usuários sugerem a necessidade de otimização de desempenho e redução do uso de recursos do sistema.
  • Escalabilidade e estabilidade: Embora geralmente estável, alguns usuários apontam a escalabilidade e a estabilidade como áreas que poderiam ser melhoradas.
• Casos de uso recomendados:
  • Organizações que necessitam de recursos avançados de detecção, investigação e resposta automatizada a ameaças cibernéticas sofisticadas, como malware, ransomware e ataques de dia zero.
  • Empresas que buscam uma plataforma de segurança de endpoints abrangente e integrada para todos os dispositivos e sistemas operacionais.
  • Ambientes que necessitam de recursos robustos de resposta a incidentes, busca de ameaças, análise forense e contenção de endpoints.

Análise: De modo geral, o feedback dos usuários posiciona o Symantec EDR como uma solução de segurança poderosa e eficaz, principalmente por suas funções principais de detecção e prevenção de ameaças. Seus pontos fortes residem na análise avançada, na resposta automatizada e na proteção abrangente contra uma ampla gama de ameaças cibernéticas. No entanto, a plataforma enfrenta desafios na experiência do usuário, com alguns usuários considerando-a pouco intuitiva e desejando um suporte mais consistente. O impacto no desempenho, especificamente na utilização da CPU, também é uma preocupação recorrente para alguns usuários. Essas observações sugerem que, embora o Symantec EDR ofereça segurança robusta, há oportunidades de aprimoramento na usabilidade e na eficiência de recursos para melhorar a experiência geral do usuário.

Resumo

O Broadcom Symantec EDR é uma solução abrangente e robusta de Detecção e Resposta de Endpoint (EDR), parte integrante da plataforma Symantec Endpoint Security Complete. Oferece recursos avançados para detectar, investigar e responder a ameaças cibernéticas sofisticadas em diversos sistemas operacionais, incluindo Windows, macOS e várias distribuições Linux. O produto suporta modelos de implantação flexíveis, incluindo hardware local ou appliances virtuais, bem como opções em nuvem e híbridas.

Pontos fortes: O Symantec EDR se destaca em suas funções essenciais de segurança, utilizando IA, aprendizado de máquina e inteligência global contra ameaças para detecção precisa de ameaças e resposta automatizada a incidentes. Ele oferece amplas funcionalidades de redução da superfície de ataque, prevenção de ataques e prevenção de violações, incluindo defesas especializadas contra roubo de credenciais do Active Directory e movimentação lateral. Avaliações independentes, como a classificação AAA da SE Labs para defesa contra ransomware e o forte desempenho nas avaliações MITRE ATT&CK, validam sua alta eficácia contra ameaças reais. Os usuários frequentemente elogiam sua análise abrangente de ameaças, prevenção robusta de intrusões e ações de remediação automatizadas.

Pontos fracos: As áreas que precisam de melhoria incluem a experiência do usuário, com alguns comentários indicando que a plataforma pode ser menos intuitiva em comparação com os concorrentes. A consistência e a capacidade de resposta do suporte ao cliente também recebem avaliações mistas. Além disso, alguns usuários relatam preocupações com relação à utilização de recursos do sistema, especificamente o uso da CPU, sugerindo a necessidade de otimização de desempenho.

Recomendações: O Symantec EDR é altamente recomendado para empresas que buscam uma solução de segurança de endpoints poderosa e integrada, capaz de lidar com ameaças avançadas e persistentes. As organizações devem considerar cuidadosamente sua estratégia de implantação, alinhando-a aos requisitos técnicos detalhados para agentes, appliances virtuais ou hardware. O monitoramento regular das páginas do Ciclo de Vida do Produto da Broadcom é crucial para garantir que os componentes continuem recebendo suporte. Embora os recursos de segurança sejam de primeira linha, os usuários em potencial devem avaliar a usabilidade da plataforma e o impacto nos recursos em seu ambiente específico. O feedback contínuo da comunidade de usuários sugere que melhorias constantes no design da interface do usuário e na eficiência de desempenho fortaleceriam ainda mais a posição do produto no mercado.

As informações fornecidas são baseadas em dados disponíveis publicamente e podem variar dependendo das configurações específicas do dispositivo. Para obter informações atualizadas, consulte os recursos oficiais do fabricante.