S'applique À : WatchGuard EDR Core
WatchGuard EDR Core est inclus dans la licence Total Security Suite du Firebox. EDR Core inclut un sous-ensemble de fonctionnalités WatchGuard EDR et prend en charge les fonctionnalités XDR via ThreatSync. Vous pouvez installer EDR Core avec des produits endpoint tiers pour détecter et vous protéger contre les attaques sans fichier et sans malware, notamment les logiciels de rançon et les APT. EDR Core comprend également une protection anti-altération et anti-exploitation, ainsi que des détections contextuelles, des fichiers leurres et une validation VPN.
Pour plus d'informations sur ThreatSync, accédez à À propos de ThreatSync.
EDR Core comprend une partie des fonctionnalités disponibles dans WatchGuard EDR et remplace le Host Sensor Threat Detection and Response (TDR). EDR Core n'inclut pas de pare-feu, d'antivirus, d'accès Web ou de contrôle des périphériques, de clichés instantanés ou de blocage des programmes. Vous devez effectuer une mise à niveau vers WatchGuard Advanced EPDR ou EPDR pour profiter de ces fonctionnalités, Zero-Trust Application Service et des modules de sécurité des endpoints. Lorsque vous achetez et activez Passport ou une licence d'abonnement Endpoint Security pour WatchGuard EPDR, la licence EDR Core existante avec Total Security Suite est automatiquement mise à niveau vers WatchGuard EPDR. La licence EDR Core devient inactive. Pour plus d'informations sur la mise à niveau de votre licence EDR Core vers WatchGuard EPDR, accédez à Activer une Licence Endpoint Security.
EDR Core prend en charge ces plates-formes client :
- Windows (Intel et ARM)
- Linux
- macOS (Intel et ARM)
Pour de plus amples informations concernant les certificats Racine, accédez à Exigences d'Installation (externe) des Notes de Publication de WatchGuard Endpoint Security.
Fonctionnalités de Base d'EDR
Vous pouvez créer des profils de paramètres de sécurité dans EDR Core similaires aux profils que vous créez dans WatchGuard EDR. Pour de plus amples informations, accédez à Gérer les Paramètres.
Ces fonctionnalités de base sont disponibles avec EDR Core et vous pouvez les attribuer à vos endpoints via des profils de paramètres de sécurité :
- Protection anti-altération
- Visibilité sur le matériel et les logiciels sur un endpoint
- Redémarrage à distance et réinstallation de l'agent d'endpoint et du logiciel de protection sur l'endpoint
- Isolement d'un endpoint
- Découverte d'endpoints non protégés
- Suivi des actions des utilisateurs dans l'interface de gestion d'Endpoint Security
Si vous envisagez d'utiliser EDR Core avec un logiciel antivirus tiers, vous devez ajouter des exclusions à la fois dans le produit tiers et dans EDR Core pour vous assurer qu'elles ne se chevauchent pas ou ne créent pas de fausses détections. Pour plus d'informations sur la création d'exclusions dans EDR Core, accédez à Créer des Exclusions dans WatchGuard Endpoint Security.
Fonctionnalités de Sécurité de EDR Core
Les fonctionnalités de sécurité d'EDR Core sont similaires à celles incluses avec WatchGuard EDR. Les fonctionnalités de sécurité suivantes sont disponibles avec EDR Core :
- Détections contextuelles, y compris les détections d'Host Ransomware Prevention
- Fichiers fictifs (Decoy files)
- Recherche de Collective intelligence et APT Blocker (les programmes exécutés sont envoyés vers le cloud et exécutés dans notre bac à sable pour détecter les menaces inconnues)
- Protection anti-exploitation
- Mode Audit uniquement sur les endpoints (les modes Hardening et Verrouiller nécessitent le service Zero-Trust Application Service qui n'est pas disponible dans EDR Core.)
- Blocage (EDR Core ne prend pas en charge la désinfection.)
- Application du VPN
Les fonctionnalités de sécurité suivantes ne sont pas disponibles avec EDR Core :
- Contrôle de l'accès au Web
- Firewall
- Antivirus
- Clichés instantanés (Shadow copies)
- Contrôle des appareils
- Zero-Trust Application Service (EDR Core ne classe pas les applications inconnues.)
- Analyser les tâches
- Blocage des programmes
- Logiciels autorisés
Comparaison des Fonctionnalités
Pour profiter du service Zero-Trust Application Service, de l'antivirus, des modules de sécurité des endpoints tels que Full Encryption et Patch Management, ainsi que d'autres fonctionnalités répertoriées dans ce tableau, nous vous recommandons de mettre à niveau EDR Core vers WatchGuard EPDR.
| EDR Core | EDR | EPDR | Advanced EPDR | |
|---|---|---|---|---|
| Application du VPN | ✓ | ✓ | ✓ | ✓ |
| Détections entre les produits (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Actions de réponse : Mettre en quarantaine, tuer ou isoler (ThreatSync) | ✓ | ✓ | ✓ | ✓ |
| Détections contextuelles (malware sans fichier) | ✓ | ✓ | ✓ | ✓ |
| Anti-exploitation | ✓ | ✓ | ✓ | ✓ |
| Service Threat Hunting et IOA | Partiel | ✓ | ✓ | ✓ |
| Désinfection après une attaque bloquée | × | ✓ | ✓ | ✓ |
| Détecter les malware lorsque des fichiers sont copiés ou téléchargés | × | × | ✓ | ✓ |
| Zero-Trust Application Service | × | ✓ | ✓ | ✓ |
| Evaluation des vulnérabilités | × | ✓ | ✓ | ✓ |
| Protection contre les attaques réseau | × | ✓ | ✓ | ✓ |
| Clichés instantanés (Shadow copies) | × | ✓ | ✓ | ✓ |
| Contrôle des appareils | × | × | ✓ | ✓ |
| Firewall incluant IDS, règles d'application et règles système | × | × | ✓ | ✓ |
| Filtrage des URL | × | × | ✓ | ✓ |
| Antihameçonnage | × | × | ✓ | ✓ |
| Protection Web | × | × | ✓ | ✓ |
| Protection mobile (Android et iOS) | × | × | ✓ | ✓ |
| Stratégies de sécurité avancées | × | × | × | ✓ |
| Règles Yara et IOC | × | × | × | ✓ |
| Accès à distance via l'invite de commande | × | × | × | ✓ |
| Détecter les IOA Avancés (TTP MITRE) | × | × | × | ✓ |
| Modules optionnels (Patch Management, Full Encryption et ART) | × | ✓ | ✓ | ✓ |