【入正】SentinelOne Complete

隔山打空气

384也7492374 发表于 2023-8-12 10:48
最终还是要看整体的防护能力的，况且每年的变化都很大

但是这么久了，BD的ATC对Direct Syscall这个相当有年头的反AV/EDR技术做了处理了吗（

swizzer

384也7492374 发表于 2023-8-12 10:48
最终还是要看整体的防护能力的，况且每年的变化都很大

我举这些例子只是为了反驳你最初的那个看法：

我觉得没有bd的EDR厉害

——毕竟我引用的你的这句话发表的仅仅是对EDR的观点。

如果要继续讨论整体效果，我只能说，AV-C Real World测试只能反映EPP的效果；EDR的效果，从MITRE的测试来看，BD的EDR已经被SentinelOne压制多年了。
EPP+EDR的效果如何，任君评说咯~

384也7492374

隔山打空气 发表于 2023-8-12 10:52
但是这么久了，BD的ATC对Direct Syscall这个相当有年头的反AV/EDR技术做了处理了吗（

bypass各种杀软都有独特的缺点，目前还没有看到关于哪个杀软BYpass不掉的案例

384也7492374

swizzer 发表于 2023-8-12 10:58
我举这些例子只是为了反驳你最初的那个看法：

——毕竟我引用的你的这句话发表的仅仅是对EDR的观点。
...

那从综合的专业防护上来看哪款杀软常年名列前茅呢，只是请教一下

swizzer

隔山打空气 发表于 2023-8-12 10:52
但是这么久了，BD的ATC对Direct Syscall这个相当有年头的反AV/EDR技术做了处理了吗（

没有。前几天找了个老旧的Magniber，ATC还是被平推。。。

swizzer

384也7492374 发表于 2023-8-12 11:05
那从综合的专业防护上来看哪款杀软常年名列前茅呢，只是请教一下

个人用户一般用不着、也没什么机会使用EDR。所以看AV-C Real World测试就好。

EPP+EDR的综合测试，我不清楚有没有人做过。
(EDR本来也吃使用者水平，上限如何全凭使用者的威胁搜索能力...)

384也7492374

swizzer 发表于 2023-8-12 11:10
个人用户一般用不着、也没什么机会使用EDR。所以看AV-C Real World测试就好。

EPP+EDR的综合测试，我 ...

谢谢，我现在用的BD的旗舰版，我看他们说BD的mbr防护能力较弱有什么可以搭配的组合吗

swizzer

384也7492374 发表于 2023-8-12 11:14
谢谢，我现在用的BD的旗舰版，我看他们说BD的mbr防护能力较弱有什么可以搭配的组合吗

BD我不建议搭配。他们的UserMode Hook很容易和其他安全软件冲突...除非你找一些只有R0 Hook的小工具，可能会好一点?(比如iDefender)

怎么说呢，个人用EDR其实已经属于杀鸡焉用牛刀了

隔山打空气

384也7492374 发表于 2023-8-12 11:04
bypass各种杀软都有独特的缺点，目前还没有看到关于哪个杀软BYpass不掉的案例

首先，EDR和AV/EPP有很大的区别。AV/EPP能够实时检测可疑行为，并在相对较短的时间内立即做出反应，清除威胁。一般来说，我们大多数人应当看重AV（或EPP）的能力，因为对于普通用户，它们就是保护我们的主要防线。

EDR通常情况下并不能实时阻截威胁，而是将大量数据收集整合分析后发送给控制台，由负责的安全团队进行分析并实施响应操作。另外，一些EDR产品提供了自定义规则+自动响应能力，能够根据安全团队自定义的规则近乎实时地生成警报及自动执行响应操作。（例如本贴标题提到的此产品，类似的还有CylanceOPTICS等，但各家产品的功能往往也不同，需要对比）

那么，您也应该知道了，EDR的弱点往往就在于这个延迟上。本地的恶意行为发生后，EDR传输数据到云端，由安全团队实施调查并响应之前的这个空窗期，攻击者可能已经实现了他们的目标（例如，窃取了数据并上传到C2）。

但是EDR在检测高度复杂的威胁（例如能够绕过大多数防病毒产品的攻击）时具有至关重要的作用。您刚才提到了“各种杀软都有独特的缺点”“没有看到关于哪个杀软bypass不掉的案例”，这意味着这些杀软都有被绕过的可能。当杀软被绕过时，EDR就非常重要。有经验的安全人员/安全团队能够迅速通过EDR锁定突破防线的恶意软件，实施封锁，从而防止持续的感染和进一步的恶意行为，缩短攻击者停留的时间。
EDR的强大之处在于它的高度可见性，一款优秀的EDR不仅需要收集足够多的数据，还需要有强大的数据分析能力，能让防御人员立即发现恶意软件的恶意行为（例如，通过Direct Syscall逃避监控，或Patch内核DLL来破坏杀软监控能力），能够正确地组建出攻击事件链等等。

目前，无论是MITRE还是我个人在样本区的实战结果来看，S1的EDR能力毫无疑问是远胜于BD的EDR的。
需要指出的是，在绝大多数情况下，S1的EPP功能是远不及BD的EPP防护能力，并且现在BD的EPP能力确实非常强大可靠，可以说是国际领先。但是在另一些方面，S1的EPP有着它们独特的优势（例如，非常可靠的反勒索+强悍的根本原因分析（部分由EDR提供）+近乎完美的文件回滚功能）
个人用户用BD卡巴那类AV/EPP很靠谱的老牌厂家就很可以了。
EDR...很吃人，比较麻烦（

EDR没人可不行啊！没人看着EDR，那就跟家里丢个花瓶不塞东西一样，拉出去给别人看看装装X还行，实际上可是一动不动像陆龟（

384也7492374

隔山打空气 发表于 2023-8-12 11:39
首先，EDR和AV/EPP有很大的区别。AV/EPP能够实时检测可疑行为，并在相对较短的时间内立即做出反应，清除 ...

那我该如何去弥补缺点呢，krat或者大蜘蛛那个单卖的或者iDefender