入正 SOPHOS XDR 功能 & 介绍

yiohar

761773275 发表于 2022-2-21 15:52
tb 750块钱1用户

看吧，你还是有钱人

呵呵大神001

个人对sophos不是很看好
勒索翻车就不说了，从apt29到carbank测试，bitdefender的侦测覆盖率都从废拉不堪变到第一梯队了，这玩意依旧费拉不堪，av-c流畅性测试和飞塔多次喜提倒数，云也不是很想行
除了这个威胁情报还不错以外我觉得不行

761773275

呵呵大神001 发表于 2022-2-21 20:23
个人对sophos不是很看好
勒索翻车就不说了，从apt29到carbank测试，bitdefender的侦测覆盖率都从废拉不堪 ...

我对他未来还是很看好的 毕竟护士不像BD那样，主要还是做硬件
如果未来将沙箱API接入XDR就好玩了

oyyr1998

骚护士安全好像一直都不错就是有点卡！个人觉得！

761773275

oyyr1998 发表于 2022-2-21 20:29
骚护士安全好像一直都不错就是有点卡！个人觉得！

在两个月护士疑似换了部分组件，变流畅了

呵呵大神001

761773275 发表于 2022-2-21 20:27
我对他未来还是很看好的 毕竟护士不像BD那样，主要还是做硬件
如果未来将沙箱API接入XDR就好玩了[ ...

我觉得你坠吼去再看看xdr的定义
扩展检测与响应，主要是整个局域网主机的威胁情报聚合+云应用（如o365 dropbox etc）的威胁情报聚合（如某未知ip上传了某可疑软件 etc）而且sophos做的硬件是防火墙
云沙箱联动和edr联动我觉得还蛮难的，毕竟edr detect了什么可疑行为的话再把应用加云沙箱跑一遍感觉怪怪的，意义不大
我觉得sophos应该先把他自家的edr做好再说别的，至少要把Microsoft干掉啊（（（
哪个手动展开调查分析就是手动找一些检测到的指标，如ioc/ioa/mitre威胁映射/hash
但是这玩意是要基于能收集足够的情报才管用的科普一下edr与xdr
edr相当于你一台机器上的威胁指标聚合，如某user点了什么文件产生了什么后果
xdr类似于你一台机器对另外一台机器做了什么，如某恶意文件通过机器1扩散到机器2，或者通过dropbox下载到机器1上，edr是检测不出这个的
对了他们家企业的手机版不要钱免费送，良心企业））

BE_HC

感觉就是个日记查询的设置，记录每个程序的行为

1. Live Discover
   
2. Live Discover允许管理员查看他们的环境，并立即响应任何紧急的问题。它允许直接访问设备，以了解其当前运行状态和历史活动。
   
3. Live Discover是基于osquery的，osquery是一个开源项目，可以让管理员了解设备的当前运行状态。它利用SQL查询技术向设备搜索这些问题。
   
4. Live Discover在 Sophos Central Admin > Threat Analysis Center > Live Discover下
   
5. 
   
6. Live Discover提供了一组预定义的查询，从“设备运行了多长时间”这样的基本查询，到更复杂的查询，如“一个进程在10天前运行时可能修改了哪些文件和注册表项”。
   
7. 
   
8. 可以选择一个或多个设备向其发出查询，由于数据驻留在设备上，因此对单个设备的影响很小，并允许扩展到数千个设备。
   
9. 
   
10. 如果没有可用于满足您的需求的预定义查询，您可以创建自己的自定义查询并将它们分配到一个类别。Live Discover支持的查询表非常丰富，关于模式的更多信息可以在Sophos Central Help中找到。
    
11. 
    
12. 我们还建议专家使用Sophos社区来分享关于查询或对现有查询进行微调的想法。
    
13. 
    
14. 可以在这里找到提供更多信息和Live Discover示例用法的视频库。

复制代码

vaedzy

我没想到 你竟然能用下去 我用了几分钟就受不了了 这个货拦截微软的api

有孔虫2010

这个没有用过，不知道怎么样？

山鹰

给钱就厉害啊