本帖最后由 带刀侍卫 于 2023-1-3 20:45 编辑
2022年3月31日发布的MITRE Engenuity ATT&CK®Evaluations涵盖了30家供应商,
并模拟了Wizard Spider和Sandworm威胁组。(下方有介绍)
SentinelOne连续第三年领导这项测试,该测试已被广泛接受为EDR能力的金标准测试。
巫师蜘蛛(Wizard Spider):一个有经济动机的犯罪集团,自2018年8月以来一直在针对各种组织(从大公司到医院)开展勒索软件活动
沙蠕虫(Sandworm):一个破坏性的俄罗斯威胁集团,以实施2015年和2016年针对乌克兰电气公司和2017年诺佩蒂亚攻击。
- 100%保护
- 100%检测
- 100%实时(0次延迟)
- 99%的可见性
- 99%的最高分析覆盖率
分析检测:根据更广泛的数据集构建的上下文检测,是技术加策略检测的组合。这将生成发生了什么、为什么以及如何发生的详细视图。使用高保真、高质量的检测可以节省操作员的时间,最大限度地提高响应速度,并将停留时间风险降至最低。 SOC团队经常发现自己警报过多,没有足够的时间进行调查、研究和响应。为了发出警报而发出的警报变得毫无意义:未被使用和未被注意。可根据预先组装的上下文采取行动的精确警报可最大限度地提高EDR的有效性和使用率。 2022年 分析检测榜
EDR:电子数据记录器,在交通工具上又称黑匣子,在安全领域是一种检测套装软件的重要组件,可预防性的防御攻击
机器速度自动化来对抗高速运转的对手,机器速度自动化不受人类固有缓慢的影响。 实时检测可加快响应速度,降低组织风险。 图中说明延时很短,明显有夸张和吹牛的成分,意在说明0秒就能响应 对于面临信息过载的SOC和现代IR团队来说,更多的信号和更少的噪音是一个挑战。与其看到事件中每一个遥测数据的警报,还不如让已经负债累累的SOC团队疲惫不堪,网络安全团队从一种将数据点自动分组为合并警报的解决方案中受益匪浅:该解决方案在一个轴上有一个最佳点,在该轴上虚假警报的数量较低,而真正的阳性警报是准确和精确的。这减少了所需的手动工作量,有助于消除警报疲劳,并大大降低了响应警报的技能设置障碍。
这一堆话主要为了说明目前企业端点检测与响应Endpoint Detection and Response 误报问题还是比较棘手,不好解决
优点:擅长可见性和检测,更重要的是,它通过storyline™ 技术将数据自动映射和关联到完全索引和相关情境中。 卓越的可视性、可操作的环境、实时击败对手的能力、Singularity (神奇的)XDR。
XDR:Extended Detection and Response,缩写是XDR,意思是可拓展威胁检测与响应。是一个基于SaaS化模式,将多源安全遥测数据进行聚合,把原先分散的单点安全能力以原生化方式进行有机融合,以此提升威胁检测、调查、响应与狩猎能力的系统。
| 
发表于 2023-1-3 20:40:41
我好像快变成elastic吹了,但愿不要挨打(