A maioria dos sistemas de acesso corporativo coleta informação sobre o dispositivo apenas no momento em que a conexão é estabelecida: IP, nome do SO, talvez impressão digital TLS, talvez o token de MDM. Depois disso, esses dados não são mais tocados. Ao longo de uma sessão que dura horas, presume-se que o estado do dispositivo não mudou — que os patches não foram aplicados, que o agente de Endpoint Threat Protection (EDR) não foi desligado, que nenhum software novo foi instalado, que nenhum drive USB foi conectado.
Essa suposição não é compatível com o modelo de ataque moderno. Um dispositivo pode ser comprometido após o login, o Endpoint Threat Protection (EDR) pode ser parado, malware pode ser carregado, a configuração pode ser alterada. O sistema clássico não enxerga isso porque nunca olha.
A telemetria contínua quebra esse modelo. A telemetria é coletada do dispositivo periodicamente — na ordem de segundos ou minutos; a mudança de estado é registrada e, quando um limiar é ultrapassado, a política é acionada.
O agente TR7 ETM mede continuamente o estado interno do dispositivo e o compartilha de forma viva com o restante do stack TR7.
É oferecido um agente ETM com a mesma capacidade para Windows, macOS e Linux. A equipe de operações não precisa gerenciar cadeias de ferramentas distintas para diferentes sistemas operacionais; todo o inventário de dispositivos é monitorado a partir de uma única plataforma.
O agente coleta telemetria em intervalos configurados — na ordem de segundos ou minutos conforme o setor e o nível de risco. Os dados são correlacionados ao longo do tempo; a mudança de estado é interpretada como um 'evento', não como uma foto instantânea.
Inventário de software, processos em execução, portas abertas, arquivos de configuração, repositórios de certificados, contas de usuário locais, inventário de hardware, criptografia de disco, interfaces de rede, estado do agente de segurança, chaves de registry, eventos de log do sistema — dezenas de categorias de dados sob um único agente.
Quando os limiares definidos são ultrapassados, quando uma configuração crítica muda ou quando um processo inesperado é iniciado, o ETM gera um evento. O AAM pode vincular esse evento à decisão de acesso, enviá-lo ao SIEM ou emitir um alerta de operador.
A telemetria contínua não é apenas coleta de dados; é uma camada de visibilidade viva que vincula os dados às decisões de acesso e de operação.
A lista de software instalado no dispositivo, informação de versão, fornecedor e momento da instalação são monitorados continuamente. Instalação de software não autorizado, uso de versões antigas e aplicações fora do inventário de software aprovado são tornados visíveis pelo ETM. A conformidade de licenciamento e a conformidade com a política de segurança alimentam-se do mesmo dado.
Os passos de configuração que mudam depois de o dispositivo se tornar conforme à política de segurança — regras de firewall local, arquivos de autorização, políticas de auditoria, alterações de registry/plist — são acompanhados continuamente. O desvio em relação ao baseline pode ser convertido em decisão de acesso ou em alerta de operador.
Dados SMART de disco, contagem de erros de memória, temperatura de CPU e erros de interface de rede são medidos continuamente. Problemas de hardware são sinalizados à equipe de operações antes da decisão de acesso; abre-se espaço para intervenção antes que uma falha cause má experiência ao usuário.
O estado dos agentes de Endpoint Threat Protection (EDR), antivírus, host firewall e DLP em execução no dispositivo é verificado continuamente. O desligamento, a desativação ou o travamento desses agentes chega ao ETM como evento instantâneo. Esse sinal torna-se uma entrada de primeira classe para a decisão de acesso do AAM.
Além do disco do sistema, o estado de criptografia das unidades secundárias também é tornado visível. O estado proveniente das soluções de criptografia de disco nativas da plataforma (para Windows, macOS, Linux) é normalizado pelo ETM e convertido em uma única entrada de política. O desligamento da criptografia é capturado instantaneamente.
Mudanças nos repositórios de certificados do dispositivo — adição de um novo certificado raiz confiável, eventos de assinatura que indiquem manipulação — são registradas continuamente. Essa telemetria é um sinal especialmente valioso para detecção de TLS interception e proxy oculto.
Eventos como a criação de um novo usuário local, a adição de uma conta existente ao grupo admin ou a alteração da política de senha estão incluídos na telemetria. As mudanças na superfície de autorização do dispositivo não escapam da camada de controle corporativo.
Interfaces de rede ativas, configurações de IP, atribuição de servidor DNS, rota padrão e estado do túnel VPN são medidos continuamente. Um túnel inesperado, uma atribuição de DNS incomum ou o acesso simultâneo a partir de duas redes são tornados visíveis pelo ETM.
A árvore de processos em execução no dispositivo, o momento de início, as relações com o processo pai e as portas de rede abertas são registrados. O início de um serviço anormal ou o início de escuta em uma porta inesperada são refletidos como evento.
Os dados provenientes de três sistemas operacionais distintos são normalizados em um único modelo de dados. O operador não precisa escrever consultas separadas para Windows e Linux; a mesma política pode ser aplicada a todo o inventário de dispositivos.
A telemetria contínua não é apenas uma capacidade técnica; é todo um modelo operacional para retenção de dados, consumo e integração de decisão.
Para cada categoria de dados pode ser definido um intervalo de coleta separado. Categorias críticas — estado do agente de segurança, criptografia de disco — na ordem de segundos; categorias de baixa intensidade — inventário de software — podem ser horárias ou diárias. A equipe de operações define o equilíbrio conforme a carga do dispositivo e da rede.
A telemetria não é apenas armazenada; podem ser definidos limiares para mudanças de estado. Quando o agente de Endpoint Threat Protection (EDR) deixa de funcionar, quando um novo usuário é adicionado ao grupo admin ou quando a criptografia de disco é desligada, o ETM gera um evento.
Quando a telemetria é transmitida ao lado do AAM, o nível de confiança de um dispositivo é atualizado continuamente. Para um dispositivo cujo estado se deteriora após o login, o AAM pode solicitar MFA adicional ou encerrar a sessão.
A telemetria pode ser exportada ao SIEM em formato bruto ou no nível de evento. É fornecido um fluxo para registro de longo prazo em plataformas SIEM corporativas. A correlação de eventos pode ser feita em conjunto com a camada de acesso à aplicação.
As categorias de dados a coletar e o nível de detalhe são gerenciados por política. A não coleta excessiva de dados, o mascaramento de campos que contêm informação pessoal e a limitação do período de retenção são configuráveis. Pode-se realizar uma configuração adequada ao GDPR e aos reguladores setoriais.
A camada de coleta e avaliação de telemetria escala para gerenciar dezenas de milhares de endpoints a partir de um único cluster TR7. A retenção, a consulta e a investigação retroativa são planejadas conforme a intensidade dos dados.
Se um atacante parar o agente de Endpoint Threat Protection (EDR) em um dispositivo que estava seguro no momento do login, o ETM captura essa situação em segundos. O AAM pode acionar automaticamente MFA adicional, suspender a sessão ou aplicar bloqueio total.
Quando um usuário que acessa dados financeiros ou de saúde conecta um novo drive USB durante a sessão, o ETM reflete isso como evento. Conforme a política, podem entrar em ação controles adicionais de prevenção de cópia de dados ou é emitido um alerta de operador.
A adição de um novo certificado aos certificados raiz confiáveis de um dispositivo pode ser um indício de TLS interception. O ETM registra essa mudança como evento instantâneo; a equipe de segurança pode iniciar uma investigação ou o dispositivo é colocado na classe at-risk.
Aplicações fora do inventário de software aprovado, sem licença ou em versão antiga são reportadas continuamente. A equipe de operações faz seus planos de patch com base no inventário real; a cadeia de evidências fica pronta para os processos de auditoria.
Vamos ver a ETM Telemetria Contínua no seu próprio ambiente — vamos planejar um tour de implantação ao vivo adaptado ao seu inventário de dispositivos.