【开箱+图赏】TrendMicro Vision One

神龟Turmi

龟龟的第二个CrowdStrike的号也被Ban了，客服只会一次次的告诉你“我们确认你的号确实被Ban了”，客户经理不理人
好嘛，还是找点对中国公司比较友好的方案吧

众所周知，趋势科技在个人版是藏招的，藏的还不少
那么如果要玩趋势科技，自然是要企业版走起了
他们面向中小企业的WorryFree+XDR（安全无忧软件），代{过}{滤}理商的报价是600多/设备/年，并不便宜，所以一直想玩但是没玩

你以为这就完了？近期龟龟上网的时候，突然发现趋势科技对大型企业的VisionOne产品线似乎并不难买
最重要的是！比中小企业版更便宜！
那么。。。说干就干！

开始之前先附上购买渠道（官方，无AFF）
由于VisionOne是云原生的方案，自然趋势科技是把他们放在了云计算平台上来卖的
亚马逊AWS：https://aws.amazon.com/marketplace/pp/prodview-u2in6sa3igl7c
微软Azure：https://azuremarketplace.microso ... ro.trend-vision-one
以上这两家云计算厂商都是可以正常的用国内公司（甚至个人）注册和购买的哦~

秋豆麻袋，为啥这两家云厂商里是以1信用点为单位购买的，信用点是什么？
这时候就要提一嘴趋势科技对大企业的计费方式了
https://docs.trendmicro.com/en-u ... ntroducing-credit-b
文档原文↑ 有兴趣啃生肉的可以自己看一眼
简而言之，你每花费1美元（从AWS/Azure加5%抽成 即1.05美元）就会获得1信用点，信用点有效期1年
信用点在有效期内可以任意分配到不同的趋势科技产品上，不会被消耗，只会过期
举个栗子，你们本来有100个员工，你给他们都装上了趋势科技的EPP+EDR（65信用点/设备/年），那么你需要购买6500信用点
然后某天你们扩招了，有130个员工了，但你们又没有更多的安全预算，打算不用EDR了，那么纯EPP（45信用点/设备/年）只需要5850信用点
由于5850<6500，所以你只需要把现有的EPP+EDR都降级到EPP，信用点就够了
就是这个意思，只要在信用点范围内，你可以随时退订你的趋势科技产品，改用另外的趋势科技产品，不需要重新付费哒
https://docs.trendmicro.com/en-u ... rend-micro-offering
具体每个产品的点数↑

说太多了人都跑了，赶紧开始开箱吧

先来看看控制台首页


emm。。。只有英文和日文。。。
大公司肯定是有会英文的人啦（逃


开始部署之前，要创建一个EPP的Instance
还记得个人版因为服务器查询慢导致的卡网情况吗？在VisionOne你可以自己决定用哪里的服务器了，不再需要写hosts了
那么具体到哪个区域更快呢？
http://ec2-reachability.amazonaws.com/
看一下AWS官方的测速就知道啦~（没错，就算你是在Azure买的，VisionOne也会被部署在AWS上）
这个创建过程他们会现场的部署专用于你的云服务器，所以需要半小时或者可能更久
在这个等待时间，我们看看其他的控制台模块吧


在XDR管理中，你可以管理XDR的检测模型，开或者关一些检测项目，由于我没有他们的硬件设备，所以我打开了全部的EDR检测项，没有开启其他的检测项


在Threat Intelligence中，你可以查看趋势科技近期的安全事件报告
和单纯的翻他们Blog不同的是，这里可以看到你的设备有没有成为这些安全事件的目标以及成为了几次目标
除此之外，还提供云沙箱的功能，云沙箱的鉴定结果会直接关联到这些安全事件，提供攻击来源和组织信息
（云沙箱50信用点起步，好贵，就不试了。。。）



逛了一圈，Instance也创建好了，可以下载客户端开始玩啦
在这里可以选择基本EPP（45信用点/设备）和服务器（235信用点/设备）和不带保护的纯EDR（20信用点/设备）
然后，你需要选择你的操作系统（Windows/MacOS/RedHat/Debian）以及CPU指令集（x86_64/aarch64）

不过要注意的是，VisionOne的机制和其他安全软件有些差别，下载的客户端是和你的Instance绑定的
所以，如果你泄漏了客户端，别人可以直接通过你的客户端安装上，扣的还是你的信用点哦
另外，受限于资源，每个Instance最多只能管理5个设备，如果你有超过5个设备，你需要创建更多的Instance


由于我的电脑是可以直接连接互联网的，所以不需要设置Proxy，直接双击安装就好了~
如果你用的是趋势科技的硬件网关，可以配置成通过硬件网关来连接到Instance


稍等片刻，就安装好了
如你所见，VisionOne的EPP部分是直接用的ApexOne
至于EDR Sensor，那当然和其他EDR一样是看不见摸不着的啦~


既然是SaaS方案，那自然设置得在控制台调整啦（不然不就真成ApexOne了）
别的大多数设置和个人版大差不差，主要就是设置可以调整的特别细
重点就是图上的了，Predictive Machine Learning！
没错，就是在MITRE测试中嘎嘎乱杀的Trojan.TRX报法，这就是前面我说的藏招
当然要打开它！


如果你觉得VisionOne的管理太现代化了，非要用传统一点的
其实前面部署的Instance就是一个ApexOne的服务端，也是可以访问的，用VisionOne的SSO就可以登录上去了
但是龟龟不是这么怀旧的人，所以后面继续用VisionOne控制台而不是ApexOne服务端来演示了


EPP安装完了，下一步就是安装EDR传感器了
非常简单，点一下就好

[:xi36:]既然装都装了，肯定是要简单的来测一测的
不过考虑到是实机，真实世界样本就不双击了，EDR部分会用模拟攻击工具来测试
欢迎用趋势个人版比对差异

https://bbs.kafan.cn/thread-2268130-1-1.html

特征1X 机学2X MISS3X

https://bbs.kafan.cn/thread-2268226-1-1.html


特征1X MISS1X


机学报毒的时候，可以看到置信度（86%）和猜测的分类（Spyware）


那么来到下一步：EDR测试
由于我不是MITRE级别的机构，我没有办法准确的测试EDR
以下内容仅供娱乐


先上一个T1003的测试脚本
测试1：Dump the SAM hive from the Windows Registry

被趋势的主防干掉了。。。不过还好，即使被主防干掉了EDR也是会生成事件的
测试2：Copy the NTDS file

这个主防没有反应，EDR非常精准的标记到了NTDS和T1003

然后试试Sophos的Dump LSASS测试

这件事告诉我们测EDR的时候还是关掉主防吧。。。

就这样吧
对于静态检测率来说，有了机学的加成，至少不会和个人版一样丢人
但是总体来说是不是吉祥物还不能确定（最近的样本太少了）
对于EDR我没有任何发言权，敬请关注MITRE的测试

驭龙

龟龟就玩新鲜货啊，不过这个蛐蛐，我感觉不太值

龟龟为啥不用MDE呢，那东西更便宜，而且国内更好买到

Yuki丶

前排
就算你是在AWS买的，VisionOne也会被部署在Azure上

神龟Turmi

Yuki丶 发表于 2024-4-15 20:26
前排
就算你是在AWS买的，VisionOne也会被部署在Azure上

还不是被你骗了 你和我说的AWS
结果特么是Azure

神龟Turmi

驭龙 发表于 2024-4-15 20:26
龟龟就玩新鲜货啊，不过这个蛐蛐，我感觉不太值

龟龟为啥不用MDE呢，那东西更便宜，而且国内更好买到[:0 ...

蛐蛐的这个机学其实还挺好玩的 和DI有点像 会猜测是什么类型的恶意文件
如果命中了更高的置信度还会显示出和哪个家族更接近（可惜这个样本并没有命中那么高的置信度）

刚才码字的时候居然忘了我最在意的机学的截图 补上了

pal家族

能把全部组件名称和版本号截个图吗？about里？

GreatMOLA

蛐蛐这个机学有时候显示的相似家族还会有拉黑报法

chx818

神龟Turmi 发表于 2024-4-15 20:36
蛐蛐的这个机学其实还挺好玩的 和DI有点像 会猜测是什么类型的恶意文件
如果命中了更高的置信度还会显 ...

我在想mde和md能差多远

驭龙

chx818 发表于 2024-4-15 23:58
我在想mde和md能差多远

MDE是有EDR的哟，所以MD跟MDE完全不是一个级别，当年的测试版MDE还是叫MD ATP时，我体验过，那确实是比单MD强大太多了

神龟Turmi

pal家族 发表于 2024-4-15 22:52
能把全部组件名称和版本号截个图吗？about里？

不过EDR Sensor不会显示在这里，因为只有EPP部分用了ApexOne的，VisionOne用的是自己的XDR Sensor