Elastic Defend EDR评测（2023重制版）

神龟Turmi

在2021年，我曾经简单的提过一嘴Elastic Endpoint Security，现在已经更名为Elastic Defend。
https://bbs.kafan.cn/thread-2204490-1-1.html
现在已经过去了大概两年，我觉得现在回过头对他们这两年做了什么，到底是否有成效来做一个盖棺定论是比较公平和合理的。
所以让我们开始重制版的评测。

本评测仅发布于卡饭论坛，除卡饭公众号外不允许任何形式的转载，如果发现转载行为请告知我，谢谢！


首先在开始之前，我们先看一下这家公司是什么来头。
Elasticsearch B.V.是一家注册在美国加州山景城的互联网公司，他们的拳头产品是ElasticSearch，一个以企业搜索为主要功能的“开源软件”，有相当多的公司使用ElasticSearch来进行日志分析和大数据用途。
2019年6月，他们斥资2.34亿美元收购了另一家初创的安全公司Endgame（他们被收购之前曾经参加过AVC，可以通过AVC当时的企业级年报来看到他们的产品面目），正式入局安全行业，在2021年初他们将Endgame的产品融入到了他们ElasticSearch的框架中，并推出了ElasticAgent用于快速部署，然后Endgame这个名字也和它的名字一样的End了。

目前，安全软件的“开源”方案基本只有两个选择，一个是由Cisco推出的ClamAV，仅提供纯命令行调用的引擎，另一个就是Elastic Defend，提供了完整的安全方案（包括NGAV和EDR）。
不过要注意一个事情，ClamAV使用GPLv2开源协议发布，所以作为一个开源软件它没有任何异议的被用在了各种地方。而Elastic的产品线使用Elastic License 2（曾经还使用过MongoDB同款的SSPL协议）发布，而这个协议是否能被称为开源协议存在一些不同的声音。
Elastic License 2和其他主流开源协议的差异是，EL2允许你修改和重新发布它的源代码，同时允许商用和非商用，也不要求你开源你修改之后的代码，但是明确的规定了你不能移除Elastic的LOGO等其他的版权信息以及不能提供托管服务。
这个不能提供托管服务，简单的理解就是你可以作为MSP厂商帮其他公司安装和部署Elastic的软件，但是对方公司必须直接使用ElasticSearch，而不能是你直接提供了某个服务让他们来访问而根本不接触到ElasticSearch这个产品。
业内不少人认为这样的协议并不能算作“开源软件”，因为他“开源”了但是并不“自由”。
在这里我不想太多的讨论到关于他是不是开源软件，我更多的在意他目前作为一个免费的安全方案是否足够。

我一直在关注Elastic的发展，就是因为他们的ElasticSearch以及Kibana控制台本身非常适合作为EDR使用，这是其它专精安全的公司都不能提供的东西。但是很可惜的是，他们作为一家商业公司而不是开源基金会，他们一直在想办法的盈利而不是单纯的做“公益”，所以在2022年开始他们将很多新的功能列入了付费版本专属，不再是开源版本=完整版本（之前也有XPACK这种付费功能，但对于安全来说没有差异）。
以下是我整理的版本差异（仅统计和安全相关的内容）

	开源版	闭源免费版	白金版
NGAV	√	√	√
EDR	√	√	√
行为反勒索	×	×	√
内存威胁防护	×	×	√
技术支持	×	√（有限）	√

因为我这边想体验一下它的完全体，看看在目前的环境下效果是什么样，所以这边我决定用付费版本。
然后又因为付费版本购买有难度，再加上考虑到我对ES的了解程度仅仅是会用，担心因为部署错误导致影响效果，这边我直接使用由AWS（亚马逊云）提供的云端预部署EFK（Elastic+Fleet+Kibana，作为安全使用不需要Logstash）来进行评测。
使用到的配置如下：
EC2.c6gd / 2核心保证，8核心突发（ARM） / 6GB内存 / 35GB SSD+840GB 冷存储
ElasticSearch白金版
在这个配置下，不考虑传出流量产生的费用是33.408美元/月，考虑到目前企业级安全软件的价格（作为对比CrowdStrike完全版本为200美元/设备/年）我认为是可以接受的程度。毕竟它只按照使用的资源高低来收取费用，只要你的配置足够高，理论上可以部署无限制个终端。

首先，进入Elastic后台（或者叫做Kibana）之后从菜单进入Integrations，然后找到Elastic Defend，

点击Add Elastic Defend按钮将它添加到你的Fleet。

添加之后，除了要给它起个名字之外，你还需要选择你需要的是哪种类型的功能，

这里我们考虑到云服务器只有35GB的SSD，选择Essential EDR (Endpoint Detection & Response)。
如果你只需要他作为一个基本的杀毒软件，选择NGAV即可，此时它消耗的磁盘资源可以说是忽略不计的。
虽然我还没有开始测试样本，但是我未卜先知一下，Elastic作为一个纯机器学习+行为的安全软件，不像CrowdStrike有云端的拉黑和频繁的更新，在脱离了EDR的情况下效果并不会很好，至少我个人不建议将不包括EDR的版本作为常规安全方案使用。

添加完成之后，我们回到Policy就可以看到刚添加的Integrations（我起名为Defend-EDR），

在这里可以修改一些设置，比如反病毒、反勒索、内存威胁防护的开关以及触发的行为。
如果设置为Detect则只会检测并记录但不会拦截，如果设置为Prevent则在检测到时会自动阻止进程的运行。
底下的Notify user如果打开，在触发时会在客户端显示一条信息来提示用户。

底部有一个比较重要的功能，打开之后Elastic Defend将被注册为安全软件，同时将关闭Windows Defender。
在评测过程中我们打开它，这样WD就不会干扰到我们后面的测试。

完成这边的基本设置之后，还有一个进阶的设置，就是Security-Rules，

在这里可以看到很多由Elastic提供的规则，以及第三方厂商提供的规则（需要配合对方公司的软件使用），还可以创建自定义的规则（YARA等语法）。
为了评测需要，我们只打开Elastic提供的规则。

完成全部的设置之后，我们现在就可以添加终端了。
到Elastic官网下载ElasticAgent并且传输到设备上备用，然后打开Fleet点击Add Agent，

可以看到Elastic自动生成好了需要执行的命令，cd到Agent目录输入对应的命令即可。

执行完毕之后，一切正常的话等待几分钟让它同步规则，然后就可以看到Elastic替代了Windows Defender出现在了你的安全中心里。

这时候客户端的部署就已经完成了，虽然说设置有些繁琐，但是对于客户端部署来说可以说是企业级里最简单的了，而且因为是命令行执行，非常适合大量的设备批量的部署。

第一个测试我们找隔壁安全实验室薅了一个还没有广泛传播的假TG，

Elastic拦截了样本释放的dll后样本报错退出。

另外一提，Elastic是截止我测试VT上唯一一个检出这个样本的安全软件。


然后我们再来看看Elastic后台，

可以看到是静态的机器学习干掉了这个样本。


从时间轴我们可以看到样本干的所有事情，包括释放的文件，虽然Elastic只杀掉了衍生物的DLL阻断了样本的运行，但是依然可以通过这个时间轴对着清理其余衍生物，这是很多“专精”安全的软件所不具备的能力。


顺着时间轴我们很容易的就找到了其余的衍生物，也就可以顺带清理掉了。

然后我们测试的样本来自于https://bbs.kafan.cn/thread-2249362-1-1.html的AVG白加黑远控，

样本成功释放出了AVG的exe衍生物，然后再运行白加黑时被EDR检测到Shellcode注入拦截。

从Elastic后台可以看到虽然EDR检测到了Shellcode注入，但是慢了一拍。
不过结果一切都好，因为内存威胁防护检测到了Metasploit特征并且抢先一步已经结束掉了样本。
考虑到我们可能在生产环境遇到这些问题，所以我们看一下有什么补救措施。

看起来样本已经发出去了一个数据包，向首尔腾讯云的IP。但是看到数据量并不大，这应该并不会造成数据泄露问题，警报解决。
这时候就可以看出基于行为的0信任安全方案的优势了，对于白加黑效果奇佳。

第三个样本我们测试来自https://bbs.kafan.cn/thread-2249380-1-1.html的勒索，

刚解压就没了，说明Elastic Defend并不只能提供运行时保护，在读取时一样可以触发。
这个就没有什么好看的了，平平无奇的秒杀。

第四个样本我们测试来自https://bbs.kafan.cn/thread-2249185-1-1.html的勒索，

一样平平无奇的秒杀。

第五个样本我们测试来自https://bbs.kafan.cn/thread-2249162-1-1.html的白加黑远控，

解压并没有反应，双击杀掉了dll结束。

也是NGAV干的，可能是NGAV不会扫描dll文件，只有当它加载时才会触发。

最后一个样本我们测试来自https://bbs.kafan.cn/thread-2249366-1-1.html的远控，

平平无奇的秒杀。

最后做个总结吧，Elastic Defend的强度总体来看是够用了的，毕竟除了不方便双击的furoot没测之外随手拿的样本都被轻松的解决掉了。
至于这个结果值不值得入白金版，就见仁见智了。

从刚才测试的过程来看，这个配置的ES配合一个终端做EDR是严重过剩的，如果有大量设备的话性价比将大幅提高。
当然，作为NGAV当一个补充保护+安装在本地机器上白嫖开源版也是个不错的选择。

就酱，也算填了一个坑吧。。。毕竟当年的测试实在是太不走心+业余了。。。告辞。。。

asbjdj

捉个虫，第一个Elastic License 2少写个"a"

蓝泽祈

现在企业都开始搞EDR了么，我的思想还停留在antivirus层面

Miostartos

快去写comodo的开源EDR评测

神龟Turmi

蓝泽祈 发表于 2023-1-3 09:17
现在企业都开始搞EDR了么，我的思想还停留在antivirus层面

EDR我的理解里最重要的不是D 而是R
是个安全软件都无法做到100%即时拦截，但是通过EDR提前抓取的行为，后期Response还原恶意行为的更改以最小化损失和取证用，应该算是以后的主流路子了
当然还有安克诺斯那种拿自动备份替代EDR的野路子

wangyuhe

怎么整个免费版，上官网没找到

神龟Turmi

wangyuhe 发表于 2023-1-3 09:52
怎么整个免费版，上官网没找到

https://www.elastic.co/cn/downloads/enterprise-search
准备一个4GB以上内存的机器安装 CPU对于数据量不大的情况下倒是没什么要求
当然最简单的方法是

1. docker pull docker.elastic.co/enterprise-search/enterprise-search:8.5.3

复制代码

LeeHS

请问这款EDR的反勒索能力怎么样？CrowdStrike真的是。。一言难尽

神龟Turmi

LeeHS 发表于 2023-1-3 10:30
请问这款EDR的反勒索能力怎么样？CrowdStrike真的是。。一言难尽

我卡饭样本区找了一圈 并没有找到能过掉它NGAV的勒索
所以暂时没机会测

LeeHS

神龟Turmi 发表于 2023-1-3 10:32
我卡饭样本区找了一圈 并没有找到能过掉它NGAV的勒索
所以暂时没机会测

之前Magniber CrowdStrike双击之后能杀，但文件已经加密了。现在当然没事了，设置里面的反加密是真的摆设