实测EDTD与ELG的区别

vaedzy

                                                           声明                                                                            本测试数据均来自已购的ESET Smart Security Premium以及ESET PROTECT Complete，测试数据来自@petr0vic 的x40 (2021-12-06)样本集合，结果可能因样本较少导致的错误判断，在连续测试后本贴会持续更新。



先放一张入正图




最近看论坛动不动就说ESET的ELG和EDTD 貌似是由于ESET Smart Security Premium给用户提供了ESET LiveGuard
在此看过PanzerVIIIMaus写的【ELG云玩家】ESET LiveGuard云玩家臆测，结论是

ESET在各种权衡的结果就是，ELG实战敏感度必然会比EDTD低，主要原因是决定被侦测的阈值肯定相当高。

但实测结果是EDTD与ELG分析过程无差别。详细差别如下描述：
1.ELG无法手动设置触发条件，EDTD有3个设置选项可用于EDTD触发难易等级。（此条作废，已找到办法 【更新】分享一个调整ELG调整触发阈值的办法 并带配置文件）
2.ELG无回调的分析结果，只有查杀与不查杀，EDTD在100设备以上有详细分析结果，100设备以下无详细分析报告。



得到以上结论的测试方法：
由@petr0vic 的x40 (2021-12-06)样本集合 下载解压后
ESET PROTECT Complete 查杀 32X  剩余8X EDTD返回结果Kill 3X 剩余5X 测试时间 2021年12月6号 17:32
ESET Smart Security Premium 查杀 33X 剩余7X ELG返回结果Kill 3X  剩余4X 测试时间 2021年12月6号 21:57


ESET Smart Security Premium 剩余样本名称

92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe

ESET PROTECT Complete 剩余样本名称

file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe

其中剩余样本的EDTD回调结果如下
EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com)
如图所示

由于没有虚拟机 ESET Smart Security Premium测试结果由@netweb 提供。
由@netweb 提供的测试结果

扫描后剩7个
18a43fcc06880ac6a6beb2458e18333bc4dec989aa7dc484fb1c6eb9ac322b18.exe
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
03614d528809171ea45459ac44783c841827e663322e3fdfe5b3e2477d47a160.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe
f718e9d196a4a8da1231158a961a38b33101022a9415bea4a802c6888087b3bd.exe

ELG删除的
18a43fcc06880ac6a6beb2458e18333bc4dec989aa7dc484fb1c6eb9ac322b18.exe
03614d528809171ea45459ac44783c841827e663322e3fdfe5b3e2477d47a160.exe
f718e9d196a4a8da1231158a961a38b33101022a9415bea4a802c6888087b3bd.exe

ELG报安全
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe

如图所示 一共9个样本 Kill了 4个 剩余了5个 其中与@netweb 测试的缺少文件为 疑似入库杀。

file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/31f9eae7db64f3bd45694737422f5628e2e43294c2d4ad8bf8ff460119ccb71c.exe

报告如下
EDTD 行为报告 (eset.com) 已重新提交，等待回调结果中，结果出现后将重新编辑此帖。

在此对比ELG与EDTD回调测试结果集会发现 其中报安全样本是一致的 因此在此推断ELG与EDTD其性能以及测试结果是一致的并，无实际差距。若非说有差距由此贴上方所属仅在于报告和触发有区别。

结尾：
由于之前也测试过一些样本与ELG结果一致，并无实际差距。当然处于严谨，可能是由于样本太少，所以本贴得到的结论仅代表本人观点，并授权ESET企业版给与@ICzcz 测试更多样本。以后有新的结果或结论本人会修改本贴，重新进行分析。

特别鸣谢：@netweb 提供的ESSP测试结果 以及 @ICzcz 愿意进行ESET企业版的测试。

如果有朋友有更好的测试方法，欢迎提供。我有空也会依照提供的测试方法进行测试并共享结果。

92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe 由Eset小粉丝测试 此样本已损坏，所以ELG与EDTD均无反应。

PanzerVIIIMaus

ESET在各种权衡的结果就是，ELG实战敏感度必然会比EDTD低，主要原因是决定被侦测的阈值肯定相当高。

我这句话的依据是
官方在说明书指出，EDTD的“决定被侦测的阈值”可调
而非指“EDTD和ELG的侦测流程或从云端反馈的结果不一致”

我欲在文中表示的是这个观点，但没想到描述不完整产生了歧义，是我在这方面考虑不周

ICzcz

棒棒的，之后可能再也不会有人吹ELG或EDTD了。。。

vaedzy

ICzcz 发表于 2021-12-6 23:25
棒棒的，之后可能再也不会有人吹ELG或EDTD了。。。

有大概率是我测试方法不对。不过从我测试结果这个情况看 是一致的。 没关系 授权发你了 你也试试 咱们把他搞明白了

ICzcz

vaedzy 发表于 2021-12-6 23:28
有大概率是我测试方法不对。不过从我测试结果这个情况看 是一致的。 没关系 授权发你了 你也试试 咱们把 ...

好嘞

vaedzy

补档

35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe

EDTD报查杀
入库杀....

anthonyqian

EDTD的真实水平。。。信息差啊信息差

Eset小粉絲

92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6

这样本已损坏，应该排除

aiqinghe

这样看ELG和EDTD目前只是个辅助定位，当作大杀器还是差回事

kekeChen

还是不错了，怎么样也有加强。

vaedzy

PanzerVIIIMaus 发表于 2021-12-7 11:41
我这句话的依据是
官方在说明书指出，EDTD的“决定被侦测的阈值”可调
而非指“EDTD和ELG的侦测流程或 ...

后来...都以为EDTD与ELG有差距...

PanzerVIIIMaus

vaedzy 发表于 2021-12-7 11:52
后来...都以为EDTD与ELG有差距...

差距在管理员手上
一般默认订购EDTD的用户是有一定资质的管理员，大多有调整的能力
我认为大家都是这么想的，就没有进行进一步补充

可以考虑把我在楼上的回复置顶

vaedzy

PanzerVIIIMaus 发表于 2021-12-7 11:54
差距在管理员手上
一般默认订购EDTD的用户是有一定资质的管理员，大多有调整的能力
我认为大家都是这么 ...

我并没有看到..EDTD可以调整什么

PanzerVIIIMaus

如果实际在产品找不到，或者那是额外的产品，那我其实也没办法解释些什么

https://help.eset.com/edtd/en-US/policy_management.html
——How to enable and configure the ESET Dynamic Threat Defense service

·Configuration of ESET security product

vaedzy

PanzerVIIIMaus 发表于 2021-12-7 12:11
如果实际在产品找不到，或者那是额外的产品，那我其实也没办法解释些什么

https://help.eset.com/edtd/e ...

补档 谢谢 PanzerVIIIMaus 提供的文档

如下图 几个策略指的都是的EDTD设置



设置指的是固定的客户端还是活动的客户端，
在生成客户端时，需要选择一种策略，
如果是自己写死的策略则客户端在自己写入的地方设置不可修改，在EDTD这块 策略只是是否启动ESET某项功能或者功能选项是什么，无法编辑更详细的内容。
如果选默认启动策略，则可以在客户端自行修改。

EDTD测试后的样本如果报毒，可以排除。如果没有报毒，无法手动拉黑。

PanzerVIIIMaus

vaedzy 发表于 2021-12-7 12:24
补档 谢谢 PanzerVIIIMaus 提供的文档

如下图 几个策略指的都是的EDTD设置

如我截图那一句

我理解成“EDTD的检测结果触发操作”（这样理解就是侦测阈值）
其实应该是“检测结果触发EDTD的操作”（这样就只是个提交阈值）

应该是我英文水准的问题……

Eset小粉絲

除了那损坏的样本，其余的最终还是入库了

蝙蝠BATGOD

感谢分享

遨游宇宙

好奇授权要多少米

vaedzy

遨游宇宙 发表于 2021-12-7 22:07
好奇授权要多少米

授权什么 EDTD？那东西我不知道 我直接买的带的