Intel Security端點滲透行為偵防解決方案提供豐富政策設定與報表功能，能自動化對端點進行初步處置

針對端點的滲透行為偵防，Intel Security的解決方案是McAfee Active Response（MAR），強調高度整合ePolicy Orchestrator（ePO）平臺和Threat Intelligence Exchange（TIE）威脅情資平臺，提供管理者事件的自動回應機制，以及與情資平臺的共同防護能力。

原本，MAR是獨立產品，但我們在測試的期間，原廠正好在整併企業端點防護的產品線，於是，MAR成為Intel Security企業端點防護平臺最高階版本Endpoint Threat Defense and Response的專屬功能，不再單獨銷售。因此，廠商所提供的建議售價，已同時包含防毒軟體、防火牆、網頁控制等各種端點防護解決方案的功能。當然，相對來說，若不需要這些功能，可能就沒有很划算。

此外，在相關的文件中，TIE並非建置現行1.1.0版MAR的必要條件，然而原廠實際替我們建置測試環境時，還是涵蓋了這個情資平臺。實際上MAR若是與TIE搭配運作，可與企業內部McAfee的端點安全及網路安全設備形成聯防的效果。不過，即使沒有建置TIE，管理者還是可以利用MAR做出阻斷或其他回應措施。

政策設定與報表功能都較為豐富

MAR幾乎完全融合在ePO管理平臺之中，最顯著的相關功能是在威脅事件搜尋Active Response Search，其餘像是儀表板、政策設定、報表功能，幾乎都與其他的McAfee防護產品共用。若想要針對MAR了解相關的操作方式，可能需要花點工夫才行。

但從另一個角度來看，也因為與ePO平臺高度整合，與MAR有關的大多數功能都已經中文化，是這次我們測試的產品中，唯一擁有中文化的管理介面，但Active Response Search與Threats Workspace的介面仍維持為英文。不過，原廠表示，在12月推出的MAR 2.0版，介面中文化會將更為徹底。

在政策的設定中，部分MAR可設定的防護功能，較為接近Palo Alto Traps和FireEye HX 4402，例如，管理者可以決定啟用TIE協助分析端點的威脅情報，或是允許透過端點代理程式通知使用者，也可以調整MAR在偵測到惡意行為時的處置方式等。

而對於安全處理程序清單，MAR也有，只是不同之處在於，MAR主要採用的是TIE的信譽評等機制，會顯示軟體的版本，而非MD5雜湊值，也沒有提供執行特定處理程序的端點電腦數量統計。

想要總覽端點設備的狀態，MAR提供了威脅事件儀表板；但值得一提的是報表的部分，管理者可選擇多種呈現形式，像是圓餅圖、折線圖，也可以採用表格等樣式製作報表。

提供待處理威脅事件資訊的儀表板

在ePO資安平臺中的McAfee Active Response儀表板中，以威脅事件為依據，提供管理者發生事件的類型、於企業中群組的分布情形，以及近日出現的事件統計，進而優先處置需要聚焦的問題。

具有能夠陳列指定資訊的威脅搜尋功能

基本上，Active Response Search是尋找可疑行為、並對於有問題的端點電腦，遠端直接進行下達命令的專用功能，管理者可以指定主機名稱、檔案名稱、設備狀態等，下達多重的搜尋條件，此外，也能設定搜尋結果所呈現的欄位順序，例如，我們可以找尋執行SVCHOST.EXE這支處理程序的端點電腦，並指定搜尋的結果要顯示電腦名稱，以及SVCHOST.EXE的檔案大小、MD5雜湊值等資料，查詢時算是相當彈性。

相對於其他產品來說，Active Response Search指令的功能較多，同時難度也較高，儘管輸入時系統會提示相關指令，但還是有相當的學習門檻。

此外，若是常用的搜尋條件，管理者也可以從Active Response Searches Catalog頁面中，套用曾經使用過的指令，再重新執行搜尋。

當搜尋完成之後，管理者就可勾選特定需要進一步處置的電腦，執行回應的指令，例如將有問題的檔案刪除並告訴端點電腦的使用者，或是下達立即關機等特定命令。管理者也可以將搜尋後的電腦清單匯出，供後續進一步追蹤之用。

若是要深入調查事件，MAR也提供Threat Workspace頁面，依據發生威脅的時間點、受影響端點清單，以及處理程序運作時間軸等資訊，呈現攻擊鏈。

針對指定情況，提供自動回應的能力

而管理者在MAR手動找尋事件，並做出回應之外，這套系統也能套用ePO平臺的自動回應機制。顧名思義，這是依據特定條件發生時，MAR促使自動執行某個任務的功能。相較於需要略懂指令的Active Response Search，設定自動回應機制時，只要依照指示，直接點選所需的項目，就能完成。

例如，針對發現某個異常事件的電腦，像是勒索軟體，我們可以藉由自動回應機制，設定當發現端點電腦加密了50個檔案時，就自動透過MAR的回應功能，限制端點電腦的網路連線能力。

 McAfee Active Response特色總覽 

MAR提供包含中文在內的多國語言介面，對於使用者而言，較有親和力，此外，這款系統的功能相當豐富，不只提供攻擊鏈，更可自訂在遇到指定情況時，由MAR自動執行某些工作。

具備提示功能的搜尋框

想要在MAR中找尋指定事件，這套系統中的搜尋功能可在管理者輸入部分字元時，提示可用的指令或參數，減輕管理者需要記憶大量指令的麻煩。此外，藉由特定的參數，管理者能夠指定搜尋結果所呈現的資料內容（欄位）。

可由系統自動回應威脅事件

MAR提供了自動回應的功能，管理者透過設定精靈，指定在發生某些情況時，自動執行指定動作。以圖中為例，管理者可設定在端點電腦遭受惡意攻擊時，直接由MAR自動切斷網路連線，或是下達命令，限制這臺電腦的連線能力。

提供威脅事件調查專屬網頁

針對可疑事件，MAR提供了威脅事件工作區（Threat Workspace），當中彙整了事件的時間點、受到影響的端點電腦，以及處理程序執行的狀態等，以圖像化呈現，管理者透過點選頁面上與事件有關的端點電腦，就能在右方側邊欄位檢視其詳細資料。

 產品資訊 

McAfee Active Response

●　原廠：Intel Security(02)6622-0000

●　建議售價：包含McAfee Active Response的防護方案Endpoint Threat Defense and Response，每人每年5,400元（未稅），最少需購買5人

●　伺服器部署形式：軟體部署

●　管理功能：端點AD整合、報表輸出、警示通知

●　政策設定：阻擋機制、處理程序信譽評等清單、條件式自動回應機制等

●　支援端點平臺：Windows 7~10、Windows Server、Linux

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】