话不多说,开始测试。我将模拟完整的响应流程。测试流程仅供参考。
测试时间为2022/12/25(第一次)2022/12/26(第二次)
测试前桌面
勒索诱饵已开启
保护引擎全部开启,保护模式设置为仅检测,深度可见性已开启
Q:为什么我在测试其他杀软的时候都会把主防关闭,测s1却把所有引擎打开了?
A:我设置为了仅检测(detect)模式,不会主动拦截恶意进程,因此引擎开启是允许的。
直接扫描恶意软件,没有检测到,ngav厂样本库还是不够
运行Magniber,文件被加密,sentinelone检测到勒索软件
仪表板显示了恶意事件,威胁分类正确,文件归因正确
生成的另一个恶意事件,但是这个没有ioa
恶意事件详细信息,很详细的给出了文件信息和mitre事件标签
攻击概述,可以判断有很多与文件有关的操作
可见Storyline™这个上下文信息还是基本正确的,比bitdefender EDR checkpoint等不知道高到哪里去了
Storyline™关联到的更多信息,可以看出有文件加密和生成勒索信的行为
在深度可见性(威胁搜索)中查询恶意文件信息
生成的全部有关事件
Storyline™关联到的事件
更多扩展信息
进行回滚操作,看能不能恢复信息
文件已恢复,加密文件已被删除,赞一个
控制台显示回滚了34个文件,结束了39个恶意进程,看来响应非常精准
禁用勒索诱饵文件测试
刚刚释放勒索文件就杀了,昨天还没有检测到呢,怎么回事呢?
原来我昨天测试后就已经自动拉黑文件hash了,并且是在全平台共享的,这个响应速度我赞一个
相比之下bd沙箱报恶意到拉黑慢的要死.......
双击,文件被加密
响应,回滚成功。
=================================================================
点评:在此次测试中,s1以几乎完美的表现回滚了每次恶意软件攻击,无论勒索诱饵是否开启,相比之下某些前苏联加盟国的老牌安全软件应该反思反思为什么会在主防关闭的情况下被过
输给s1这种新厂还是有丶丢脸的,
尤其是BD,脸都不要了,ATC+HD都拦不住。BD这个检测和作图。。。。和Sentinelone Storyline™差太多。。
当然s1也不是一点问题都没有
,
首次扫描就没有检测到这个在野n天(n>30days)的样本,虽然你云拉黑的速度很快。。。如果只需数据泄露就能造成公司损害的话那s1这里肯定是要扣分的,也说明老厂的毒库什么的也是很有必要的,
年轻人不要太气盛!
总的来说,这个响应体验我还是非常满意的,ui很舒服,Storyline™也很给力,威胁检索的速度也比BD快多了。
我想这次Magniber测试表明新厂不是不能超越老厂,虽然BD在EDR这条路上已经属于老厂中走的比较远的,但是SentinelOne Singularity XDR仍然令bitdefender EDR相形见绌,老厂还是不能摆烂,每天吃老本指不定就被新厂超越了。
敬请期待下一期Magniber大战企业安全软件,更新时间不定
发表于 2022-12-26 08:59:41
楼主