【入正】WithSecure EPP+EDR

神龟Turmi

上次诡异的翻车之后，我决定还是整一个带EDR的方案为好
详见https://bbs.kafan.cn/forum.php?m ... 22&pid=53165709
但是CrowdStrike EDR的价格让我的钱包告诉我不要买，否则它就要离开我了
所以退而求其次选择了WithSecure

WithSecure应该不需要多介绍了吧，就是原来的F-Secure的企业版，分家了
目前WithSecure的引擎来自Avira SAVAPI，并且使用了Avira的APC，主防来自F-Secure的DeepGuard
但是自己添加了基于DeepGuard的DataGuard，用于提供额外勒索保护和回滚
以及有一套比较完整的EDR，包括了Automate Response功能，但是比较遗憾的是并没有提供自定义EDR规则


晒一下授权书先
可以透露一下价格，含税价格为342.36英镑/5设备/年
由于F-Secure的个人版定价也非常高，所以反而企业版成了性价比的选择？


客户端就长这个样子啦

默认Policy允许终端用户自行修改设置，所以可以打开设置界面
如图所示，这个设置界面非常的FS

不过很奇怪的是，有些选项只能在云端（Elements Center）设置
例如回滚，在本地设置并不能找到到



EDR和其他的产品大同小异，上来先是攻击事件的ProcessTree用于溯源攻击的来源
（图上的并不是真正的攻击，所以可以看到危险程度是低）

在事件的详情可以看到疑似攻击的程序的具体行为，如图所示此次事件中是它添加了一个根证书
考虑到这是游戏加速器，这是合理的行为

对于来自EPP的事件（例如DeepGuard/Avira的检测）
也会生成EDR事件，可以更容易的找到恶意程序的来源


如果设置了Automate Response，当触发高于你设置的阈值的危险性的事件时，终端会被断开网络（如图所示）
然后就可以留下一个比较完整的现场用于排查和及时止损

就酱吧，当成纯炫耀帖吧，EDR需要专业的人来测试，我没有这种能力
https://attackevals.mitre-engenuity.org/enterprise/turla/
不过WithSecure参加了2023年的Mitre测试，可以期待一下结果哦

真小读者

神龟测过的软件最心水的还是DeepInstinct

pal家族

怎么不分享下翻车的文件

IamAngry

最近在样本区试了下FS，发现Deepguard相比前两年没那么灵敏了。。

神龟Turmi

pal家族 发表于 2023-7-12 10:08
怎么不分享下翻车的文件

和公司业务有关 我也想发 是他们打歪了

pal家族

神龟Turmi 发表于 2023-7-12 10:39
和公司业务有关 我也想发 是他们打歪了

没太懂。。。。

神龟Turmi

pal家族 发表于 2023-7-12 10:52
没太懂。。。。

就是攻击者是冲着公司去的 所以不能发

pal家族

神龟Turmi 发表于 2023-7-12 11:05
就是攻击者是冲着公司去的 所以不能发

了解了解

弗利萨

富哥啊

anthonyqian

F-S企业版有回滚啊 可以评测看看