Impostazioni generali EPS Politica di base Anti-malware

Sicurezza degli endpoint (EPS)

Le risorse fornite nell'ambiente AMS Advanced includono automaticamente l'installazione di un client di monitoraggio della sicurezza degli endpoint (EPS). Questo processo garantisce che le risorse gestite da AMS Advanced siano monitorate e supportate 24 ore su 24, 7 giorni su 7. Inoltre, AMS Advanced monitora tutte le attività degli agenti e, se viene rilevato un evento di sicurezza, si crea un incidente.

Nota

Gli incidenti di sicurezza vengono gestiti come incidenti; per ulteriori informazioni, consulta Risposta agli incidenti.

La sicurezza degli endpoint fornisce una protezione antimalware, in particolare sono supportate le seguenti azioni:

EC2 le istanze vengono registrate con EPS
EC2 le istanze vengono annullate dalla registrazione di EPS
EC2 istanze di protezione antimalware in tempo reale
battito cardiaco avviato dall'agente EPS
EPS ripristina il file in quarantena
Notifica degli eventi EPS
Reportistica EPS

AMS Advanced utilizza Trend Micro per la sicurezza degli endpoint (EPS). Queste sono le impostazioni EPS predefinite. Per ulteriori informazioni su Trend Micro, consulta il Trend Micro Deep Security Help Center; tieni presente che i link non Amazon possono cambiare senza preavviso.

Le impostazioni predefinite di AMS Advanced Multi-Account Landing Zone (MALZ) sono descritte nelle seguenti sezioni; per le impostazioni EPS non predefinite di AMS Multi-Account Landing Zone EPS, vedere Impostazioni non predefinite di AMS Advanced Multi-Account Landing Zone EPS.

Nota

Puoi portare il tuo EPS, vedi AMS porta il tuo EPS.

Impostazioni generali EPS

Impostazioni generali di rete per la sicurezza degli endpoint.

Impostazioni predefinite EPS
Impostazione	Default
Porte firewall (gruppo di sicurezza delle istanze)	Gli agenti EPS Deep Security Manager (DSMs) devono avere la porta 4120 aperta Agent/Relay per la comunicazione con Manager e la porta 4119 per la console di gestione. I relè EPS devono avere la porta 4122 aperta per la Manager/Agent comunicazione verso Relay. Nessuna porta specifica deve essere aperta per le comunicazioni in entrata dell'istanza del cliente, poiché gli agenti avviano tutte le richieste.
Direzione della comunicazione	Agente/dispositivo avviato
Intervallo del battito cardiaco	Dieci minuti
Numero di battiti cardiaci mancati prima di un avviso	Due
Deriva massima consentita (differenza) tra gli orari del server	Illimitato
Genera errori offline per le macchine virtuali inattive (registrate, ma non online)	No
Politica predefinita	Politica di base (descritta di seguito)
Attivazione di più computer con lo stesso nome host	È consentita
Vengono generati avvisi per gli aggiornamenti in sospeso	Dopo sette giorni
Pianificazione dell'aggiornamento	AMS prevede un ciclo di rilascio mensile per gli aggiornamenti software Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA). Tuttavia, AMS non mantiene uno SLA per gli aggiornamenti. Gli aggiornamenti vengono eseguiti a livello di flotta dai team di sviluppatori AMS durante l'implementazione. Gli aggiornamenti DSA/DSA vengono registrati negli eventi del sistema Trend Micro DSM che AMS conserva localmente per impostazione predefinita per 13 settimane. Per la documentazione del fornitore, consulta Eventi di sistema nel Trend Micro Deep Security Help Center. I log vengono inoltre esportati nel gruppo di log aws/ams/eps/var/log/DSM /.log in Amazon. CloudWatch
Fonte dell'aggiornamento	Server di aggiornamento Trend Micro (https://ipv6-iaus.trendmicro.com/iau_server.dll/)
Eliminazione dei dati relativi a eventi o registri	Gli eventi e i registri vengono eliminati dal database DSM dopo sette giorni.
Le versioni del software Agent sono conservate	Fino a cinque
Vengono mantenuti gli aggiornamenti più recenti delle regole	Fino a dieci
Archiviazione dei registri	Per impostazione predefinita, i file di log vengono archiviati in modo sicuro in Amazon S3, ma puoi anche archiviarli su Amazon Glacier per soddisfare i requisiti di audit e conformità.

Politica di base

Impostazioni predefinite della policy di base per la sicurezza degli endpoint.

Politica di base EPS
Impostazione	Default
Moduli abilitati	Anti-malware
Moduli disabilitati	Reputazione Web
	Firewall
	Protezione dalle intrusioni
	Monitoraggio dell'integrità
	Ispezione dei registri
	Controllo delle applicazioni

Anti-malware

Impostazioni antimalware per la sicurezza degli endpoint.

Impostazioni predefinite anti-malware EPS
Impostazione	Default	Note
Scansione in tempo reale	Scansiona tutto	Metti in quarantena tutti i virus sospetti. Attivazione IntelliTrap e protezione. spyware/grayware Spyware e Grayware attivano Anti-Malware e mettono in quarantena l'articolo.
Scansione in tempo reale	Ogni giorno (24 ore) Day/All
Scansione manuale	Scansiona tutto	Deve essere richiesto, quindi segue la configurazione di scansione in tempo reale predefinita.
Scansione pianificata	Scansiona tutto	Impostato per l'ultima domenica di ogni mese, alle 6 del mattino.
Protezione intelligente	Disabilitato	N/D
File in quarantena	Trend Micro Deep Security Manager (DSM)	Circa 1 GB di disco riservato per la quarantena.
Limitazione della scansione	Trend Micro DSM	Scansiona file di tutte le dimensioni.
Spyware o grayware consentiti	Nessuno	N/D
Notifica di eventi locali	Sì	N/D

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione e monitoraggio degli eventi di sicurezza

Processo di mitigazione del malware