楼主: 761773275
收起左侧

[分享] 入正 SOPHOS XDR 功能 & 介绍

  [复制链接]
yiohar
发表于 2022-2-21 16:12:45 来自手机 | 显示全部楼层
761773275 发表于 2022-2-21 15:52
tb 750块钱1用户

看吧,你还是有钱人
呵呵大神001
发表于 2022-2-21 20:23:39 | 显示全部楼层
个人对sophos不是很看好
勒索翻车就不说了,从apt29到carbank测试,bitdefender的侦测覆盖率都从废拉不堪变到第一梯队了,这玩意依旧费拉不堪,av-c流畅性测试和飞塔多次喜提倒数,云也不是很想行
除了这个威胁情报还不错以外我觉得不行
761773275
 楼主| 发表于 2022-2-21 20:27:57 | 显示全部楼层
呵呵大神001 发表于 2022-2-21 20:23
个人对sophos不是很看好
勒索翻车就不说了,从apt29到carbank测试,bitdefender的侦测覆盖率都从废拉不堪 ...

我对他未来还是很看好的 毕竟护士不像BD那样,主要还是做硬件
如果未来将沙箱API接入XDR就好玩了
oyyr1998
发表于 2022-2-21 20:29:56 | 显示全部楼层
骚护士安全好像一直都不错就是有点卡!个人觉得!
761773275
 楼主| 发表于 2022-2-21 20:34:34 | 显示全部楼层
本帖最后由 761773275 于 2022-2-21 20:36 编辑
oyyr1998 发表于 2022-2-21 20:29
骚护士安全好像一直都不错就是有点卡!个人觉得!

在两个月护士疑似换了部分组件,变流畅了








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 令人难以置信的广泛功能集........

查看全部评分

呵呵大神001
发表于 2022-2-21 20:37:55 | 显示全部楼层
本帖最后由 呵呵大神001 于 2022-2-21 20:44 编辑
761773275 发表于 2022-2-21 20:27
我对他未来还是很看好的 毕竟护士不像BD那样,主要还是做硬件
如果未来将沙箱API接入XDR就好玩了[ ...

我觉得你坠吼去再看看xdr的定义
扩展检测与响应,主要是整个局域网主机的威胁情报聚合+云应用(如o365 dropbox etc)的威胁情报聚合(如某未知ip上传了某可疑软件 etc)而且sophos做的硬件是防火墙
云沙箱联动和edr联动我觉得还蛮难的,毕竟edr detect了什么可疑行为的话再把应用加云沙箱跑一遍感觉怪怪的,意义不大
我觉得sophos应该先把他自家的edr做好再说别的,至少要把Microsoft干掉啊(((
哪个手动展开调查分析就是手动找一些检测到的指标,如ioc/ioa/mitre威胁映射/hash
但是这玩意是要基于能收集足够的情报才管用的科普一下edr与xdr
edr相当于你一台机器上的威胁指标聚合,如某user点了什么文件产生了什么后果
xdr类似于你一台机器对另外一台机器做了什么,如某恶意文件通过机器1扩散到机器2,或者通过dropbox下载到机器1上,edr是检测不出这个的
对了他们家企业的手机版不要钱免费送,良心企业))

评分

参与人数 1人气 +1 收起 理由
761773275 + 1 感谢解答: )

查看全部评分

BE_HC
发表于 2022-2-21 20:44:22 | 显示全部楼层
感觉就是个日记查询的设置,记录每个程序的行为

  1. Live Discover
  2. Live Discover允许管理员查看他们的环境,并立即响应任何紧急的问题。它允许直接访问设备,以了解其当前运行状态和历史活动。
  3. Live Discover是基于osquery的,osquery是一个开源项目,可以让管理员了解设备的当前运行状态。它利用SQL查询技术向设备搜索这些问题。
  4. Live Discover在 Sophos Central Admin > Threat Analysis Center > Live Discover下

  5. Live Discover提供了一组预定义的查询,从“设备运行了多长时间”这样的基本查询,到更复杂的查询,如“一个进程在10天前运行时可能修改了哪些文件和注册表项”。

  6. 可以选择一个或多个设备向其发出查询,由于数据驻留在设备上,因此对单个设备的影响很小,并允许扩展到数千个设备。

  7. 如果没有可用于满足您的需求的预定义查询,您可以创建自己的自定义查询并将它们分配到一个类别。Live Discover支持的查询表非常丰富,关于模式的更多信息可以在Sophos Central Help中找到。

  8. 我们还建议专家使用Sophos社区来分享关于查询或对现有查询进行微调的想法。

  9. 可以在这里找到提供更多信息和Live Discover示例用法的视频库。
复制代码

vaedzy
头像被屏蔽
发表于 2022-2-21 23:38:48 | 显示全部楼层
我没想到 你竟然能用下去 我用了几分钟就受不了了 这个货拦截微软的api
有孔虫2010
发表于 2022-2-25 09:00:49 | 显示全部楼层
这个没有用过,不知道怎么样?
山鹰
发表于 2022-2-25 09:25:15 | 显示全部楼层
给钱就厉害啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:26 , Processed in 0.108955 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表