咖啡+智量，双ML保平安

显示全部楼层 · 发表于 2020-2-9 21:07:56

本帖最后由 swizzer 于 2020-2-27 14:26 编辑

本人使用咖啡+智量已有数月，发现是个不错的搭配。
配置方法如下：McAfee使用MES10.7企业版，关闭按访问扫描（强迫症可以设为仅扫描jpg），仅保留防火墙和自适应威胁防护；
                     智量（2.5）防护全开。
优势：1.咖啡的云主防回滚彻底，且对于一些不加自启的后门、downloader有奇效；智量高查杀，主防对绝大多数威胁均能快速拦截
      2.咖啡的防火墙可弥补智量无web防护的短板
      3.两者均使用ML技术训练主防模型，且一云一本地，有效阻止0Day威胁

效果：经本人在样本区&其他渠道收集样本测试，该组合综合防御率不低于99%

欢迎大家探讨

显示全部楼层 · 发表于 2020-2-9 22:44:58

既然楼主提到RealProtect，我就把McAfee官网对RP的简单描述发一下。

功能需要的理由
Real Protect ■ 机器学习行为分类可近乎实时地检测零日威胁，并生成切实可行的威胁情报。
■ 自动进化行为分类以识别行为和添加规则，从而识别未来的攻击。

显示全部楼层 · 发表于 2020-2-9 21:25:14

比较讨厌的是咖啡最近的云确实有点不稳定，我这边已经连续3天连不上咖啡的RP云和GTI了。

显示全部楼层 · 发表于 2020-2-9 21:26:36

记录微笑发表于 2020-2-9 21:25
比较讨厌的是咖啡最近的云确实有点不稳定，我这边已经连续3天连不上咖啡的RP云和GTI了。

我这里还好。。就是连执行前扫描检测到毒都会把explorer关掉，双击时很郁闷

显示全部楼层 · 发表于 2020-2-9 21:30:20

swizzer 发表于 2020-2-9 21:26
我这里还好。。就是连执行前扫描检测到毒都会把explorer关掉，双击时很郁闷

执行前扫描在企业版上是归给ATP管的，跑回滚很正常

显示全部楼层 · 发表于 2020-2-9 21:36:14

记录微笑发表于 2020-2-9 21:30
执行前扫描在企业版上是归给ATP管的，跑回滚很正常

只是跑过头了。。。就跟ATD杀WinRAR一样

显示全部楼层 · 发表于 2020-2-9 21:44:37

MES需要和VSE一样自己写规则吗，我想试试，但是不想去写规则

显示全部楼层 · 发表于 2020-2-9 21:55:26

renyifei 发表于 2020-2-9 21:44
MES需要和VSE一样自己写规则吗，我想试试，但是不想去写规则

不需要。MES有智能主防，HIPS也有内置的必要规则，不过要手动开启。
当然你想自写也行

显示全部楼层 · 发表于 2020-2-9 22:29:16

renyifei 发表于 2020-2-9 21:44
MES需要和VSE一样自己写规则吗，我想试试，但是不想去写规则

MES不用写规则，官方基本已经内置了所有平常可能用到的规则，并且启用了一些关键的规则，而且反网络攻击方面的规则也写好了，在威胁防护里面选择自己想要开的就行。

但是MES没有询问模式，只有阻止和放行，这个有点烦。

显示全部楼层 · 发表于 2020-2-9 22:29:54

swizzer 发表于 2020-2-9 21:36
只是跑过头了。。。就跟ATD杀WinRAR一样

这样跑也无可厚非，有的病毒就是注入explorer，反正MES后来又给你启动了explorer。

显示全部楼层 · 发表于 2020-2-9 22:30:48

记录微笑发表于 2020-2-9 22:29
MES不用写规则，官方基本已经内置了所有平常可能用到的规则，并且启用了一些关键的规则，而且反网络攻击 ...

听你和楼上这么一说，感觉咖啡的企业版还是挺香的，等我用上一段时间红红组合就去用用

[分享] 咖啡+智量，双ML保平安

评分

评分

评分