本帖最后由 761773275 于 2022-2-21 23:44 编辑
SOPHOS · Intercept X Advanced with XDR · 温馨提示:非专业,纯口嗨
=================================================================
①控制台 : 包括最新警示、端点活动状态,和XDR独有的跨产品管理&响应,是EDR的进阶版
包括防火墙,手机,无线网络,云环境、电子邮件等...
②警示 :
收集全部设备的安全风险,会显示每种报毒名的总攻击次数
需要管理员确认是否已经解决
③威胁分析中心 :
A:可以看到最新的自动威胁分析报告
B:威胁图表&根本原因分析
发现设备被感染可以快速隔离受感染的端点,被隔离的设备无法访问局域网和网络,直到管理员解除
C:SOPHOS LABS 威脅情報&深度学习分析
首先会显示VT上有多少安软报毒,深度学习会分析:属性、代码和路径的可疑程度,一般30%以上都是很可疑的了
D:Live Discover 可以手动展开调查分析
(目前没玩明白)有人会的话请教教我
E:如何提交进行深度学习分析并且建立PDF文件报告?(通常自动分析只会给出杀伤链,深度学习要手动提交)
·首先进入威胁分析中心-选择某个案例,然后选择请求最新情报
·这时候Sophos会发送命令到你的客户端,将文件上传到SOPHOS LABS(25MB以内)这适用于行为防御(如果这里上传了就不用另外上报了)
·如果是监控杀则早已自动上传,这就是为什么监控发现病毒后会等一会才击杀的原因(但还是需要你点击请求最新情报才会有报告)
生成的PDF报告和上面C项差不多,这里有例子下载,可以看下(共两个)
④日誌紀錄&報告:
这里可以所有檢視日誌紀錄及報告,设备包括端点、防火墙、服务器、Cloud Optix 等...详情可以看图
⑤人員&设备管理:
A:可以看到包括:端点、管理员、子账号和使用者
B:设备管理可以查看单台设备的日志、状态、设置策略等...
C:如何新增子账号?
D.如何恢复被隔离的文件?
答:到人员那里选择你的设备,然后点击事件-详细信息进行恢复许可
E:如何解决客户端显示需要手动清除黄色警告?
有时候客户端会显示需要手动清除,然后就一直黄色状态,需要到控制台进行解除
答:到人员那里选择你的设备,然后点击状态,下面有警告,选择已解决
⑥整體設定:
这里可以设定包括:端点、防火墙、服务器、Cloud Optix 等...详情可以看图,和日志那里差不多
A:如何实现在本地关闭防护?
到整体设定-通用,选择篡改防护,点进去关闭
⑦ Endpoint Protection 端点保护:
可以单独查看&设定Win的端点日志、策略、设备状况
如果你买的license是不含Central的应该会没有上面的部分,首页直接是这里(这里不确定)但是这个页面有单独的设备下载
⑧设置政策(策略):
其实这个是策略,之前一直不知道...甚至没点进去
A:安全威脅防護
关于Sophos的功能&技术这里可以下载PDF
PDF会列出Sophos所有技术 !
B:外围控制(设备控制)
管理UBS,蓝牙等设备...
C:應用程式控管
拦截你不想用的程序包括:恶搞程序、其他安全工具、游戏等...
D:WEB网页控制
设置你想拦截的网站&排除 ,他默认给我拦截AV网站,这肯定是不行的
E:如何为特点用户更改策略?(定制策略)
选择政策,右边选择新建原则,选择一个选项如何继续
选择你的电脑,然后移动过去,然后进行设置
F:如何排除文件夹、网页或者其他组件的误报
先选择政策-安全威胁防护-设定,拉到最下面进行排除
例如我想排除一个叫做123的文件夹
⑨端点体验:
A:主界面GIF
B:右键扫描
C:Endpoint Self Help
⑩其他问题:
A:关于控制台问题:
1.我买了license我要怎么激活??
答: 先到官网点击试用,注册完后进入控制台,到右上角点击你的用户名,然后选择授权,然后激活...(注册需要企业邮)
2:一般问题、客服邮箱、上报网站:
一般问题:support@sophos.com \ no-reply-support@sophos.com
误报问题:samples@sophos.com
样本上报网站:FileSubmission (sophos.com)
更新&发行说明:Sophos release notes \发行说明和新闻 - Intercept X Endpoint - Sophos 社区
控制台登录:https://central.sophos.com/
技术支持:Home (sophos.com)
关于家庭版简略介绍:英国 Sophos Home 杀毒软件 介绍&使用心得 - 哔哩哔哩 (bilibili.com)
· 使用感受 ·
UI方面:
我个人感觉很安静、UI简洁,但感觉还差一点,通知也是Win10自带通知,很不好看,希望这里可以改成个人版那样。
控制台方面:
控制台有中文好评,功能清晰易用(虽然有很多功能个人用不上就是了)我这里香港网络用着加载速度还行,威胁分析没有沙箱就很难受,之前收购了Sandboxie这么久都不整个东西出来玩玩。
吐槽下监控居然无法改变灵敏度,感觉策略那里设置不算多,如果之后有像BEST那种自动沙箱上传分析就好了。
端点方面:
Sophos自研主防的善于入侵防御、数据盗窃、注册表防御、缓冲区溢出 加上 HitmanPro.Alert反漏洞利用、反注入 、反勒索拦截点前并且带回滚
实时监控灵敏,比个人版灵敏多了,个人版经常要执行才扫,而且组件也比个人版高很多
据我所猜,最近应该已经融合了HMPA的扫描仪(企业版)现在有扫描进度了(显示剩余多少文件的进度条)扫描速度提升10倍左右(不是吹的)
性能方面:
时隔2年,比起之前流畅太多了,因为疑似重写了监控架构,换了部分组件个人感觉至少流畅2倍,没有明显BUG和明显卡顿,没感觉
更新方面可以在控制台设置带宽限制,默认128kb,改成无限,怪不得之前这么慢...
前两个月护士疑似换了部分组件
· 完 ·
|