本帖最后由 呵呵大神001 于 2024-8-23 00:28 编辑
Symantec Endpoint Security(S E P 1 5)相比Symantec Endpoint Protection+SEPM最大的变化就是由本地部署变为了云部署/混合部署。当然 SES的客户端依然是经典的SEP14.3(曾经我还以为SES会有新ui期待了好久)但是控制台可就大变样啦(见后文)。SESC相比SEP也有多方面的提升,详见后文。 SES 包括两种订购:Symantec Endpoint Security Complete (SESC) 和 Symantec EndpointSecurity Enterprise (SESE)。SESC 包括更多功能。我购买的是SESC版本,具体细节见图
相比SESE/SEP SESC最明显的特点就是带EDR与自适应防护(基于SONAR)(当然Symantec有单独的EDR可以部署,不过那个超级垃圾,比不了SESC上面的EDR)并且支持移动设备(Android/ios/ipados)
SES控制台小赏(支持中文 好评)
语言支持
主页
在主页我们可以统揽全局信息(类似“安全大屏”“态势感知”之类的东西)也可以查看赛门铁克防护公告
此处可以看到赛门铁克防护公告和赛门铁克威胁团队做的有关研究
任务
显示一些预定义任务(例如配置各种设置啥的,完成了打个勾就行)没啥用,可能是来督促管理员的吧(笑)重点在playbook设置那
赛门铁克预定义了一些Playbook,可以帮助管理员快速完成某些操作(还给出了流程图不错),但需要管理员主动去运行这些playbook,无法像crowdstrike/sentinelone一样制作自动化工作流,而且不可以自定义Playbook只能用给你的那些,个人感觉有点鸡肋((
调查
此处显示了Symantec收集到的各种事件,并不仅限于端点EDR数据,也聚合了端点其他来源的数据(如SONAR 静态杀毒 自适应防护等)和控制台操作数据(管理员进行的各种操作和结果、如提取某文件/放某文件到沙箱/沙箱运行结果乃至某管理员登陆控制台等诸多信息)当然Symantec也提供了预定义过滤器来帮助威胁狩猎
设备
设备页面,可以对设备执行各种操作,我介绍几个独特的功能。
Liveshell会话:用shell操控被管理主机(如完成响应功能,删除/提前某些特定文件/关机等)
完全转储:完全转储操作包括收集设备上记录的系统活动事件。其事件类型 ID 范围处于 8000 到 8018 (见事件检测类型和说明)之间的事件表示系统活动,且符合“完全转储”操作的条件。可以在已部署端点活动记录器 (EAR) (就是EDR)的受管设备上执行“完全转储”操作。一旦您在设备上部署检测和响应策略,就会部署 EAR。当触发“完全转储”操作时,将从设备中检索已记录的事件。类似远程取证以便管理员调查被控主机
捕获法证数据(勾式机翻)
也是类似远程取证,不过更具倾向性,取证内容见图
发现的项目
在这里可以看见被检测到的各种文件
可以查看文件信誉,并把文件提交到沙箱,但是不会提供详细的沙盒结果,只会提供恶意/非恶意信息。另外,Symantec会把检测到的大多数文件上传到云平台方便分析师实时下载。
策略
*由于大部分内容与SEP重合,饭友可自行下载SEP自管客户端进行查看,我在这里会主要介绍防护部分与SEP有区别的点*
1.防护设置上的区别
此设置影响会防护引擎,老SEP启发式引擎(他这个启发引擎实际上就是AdvML 不是我们传统认为的手写启发2333)只有两个选项(自动/主动)主动会比自动更加激进一些。而SES则更加细分了防护引擎的设置,分为五个级别(可以理解为置信度 1最高5最低)。
阻止级别确定要阻止的文件的检测级别。有关阻止级别的信息在恶意软件防护事件中显示。
监控级别确定要监控的文件的检测级别。在选择阻止文件或为其创建允许列表排除项之前,请先监控文件。监控级别始终等于或高于阻止级别。有关监控级别的信息在恶意软件防护事件中显示。
当检测到的威胁级别等于或小于配置的阻止级别时,Symantec Endpoint Security 会报告威胁并对文件采取配置的操作。
当检测到的威胁级别介于阻止级别和监控级别之间时,会将文件报告为可疑并进行记录,而不采取任何操作。
例如,如果阻止级别设置为 2,监控级别设置为 3,则会阻止在级别 2 或更低级别下检测到的所有文件。在级别高于 2 但小于或等于 3 时检测到的所有文件都会记录为可疑威胁。不会对这类文件执行任何操作。
传统引擎(如特征引擎/传统启发式引擎/入库拉黑/云拉黑)等产生的威胁级别在1-3左右,而AdvML产生的威胁等级则在1-5不等。众所周知AdvML有A\B\C\L\M\D杀等,了解ABCD可看此处了解赛门铁克的威胁名称
A杀是基于本地机器学习的激进式启发;B杀应该是与SDS数据库联动的半本地启发,会随着SDS数据库的更新而更新。有时MD5拉黑也会出现B杀的报法,这种情况下B之后会紧跟Trojan.Gen.MBT之类的拉黑报法;C杀根据@anthonyqian 大神的说法,是云端的高级机器学期启发检测。除了这几种,AdvML还有M杀、L杀等罕见的报法,这些应该是不同程度、不同文件类型或是不同特征提取类型的机器学习扫描。
在我的测试中 SESC A杀的样本都是级别4/5(而且级别4/5的报毒样本都显示是被A杀了)(因此A的误报也高,显著高于B/C/L杀),而自管客户端(开启主动模式)不会SESC报级别5的样本,会杀部分级别4的样本,但不是A杀而是B/C/L杀等。可知A杀的报毒优先级高于B/C/L杀等,而且自管客户端(SEP)上的A杀被阉割掉了很大一部分(以前很难触发,甚至现在可能直接被砍没了),赛铁把A杀藏了起来留给SES用了(笑)不过这玩意误报也高就是了(摊手)
另外 在同时被两种类型报毒时,SES不会将两种报法并行报毒,而是根据优先级显示一种报法(SDS最高,在AdvML中A杀优先级最高 B杀次之 L杀大于C杀)看图就知道了
我不清楚这个强度级别设置会不会影响下载智能分析,不过目前来说感觉可能会有一点影响
2.自适应防护
此功能只在SESC上提供,利用SONAR拦截有关恶意利用行为。
使用自适应防护可通过管理可信应用程序执行的潜在风险行为来减少攻击面。
自适应防护将保护企业环境,使其在威胁局势转向复杂和目标性攻击时免受侵害。攻击者不再使用常规攻击工具,而是基于企业环境中本身存在的工具来自定义攻击方式。这些“就地取材式”(LOTL) 攻击可在整个环境中进行移动并规避安全提供商的检测。
LOTL 意味着您环境中的可信应用程序可在目标性攻击中用于恶意目的。这些可信应用程序(如 PowerShell)也称为双重用途工具。您可以使用自适应防护,通过阻止这些可信应用程序从未在您的环境中采用的特定行为来减少攻击面。
为保护企业免受 LOTL 攻击,自适应防护使用丰富的行为分析引擎以及全球威胁遥测和专业知识来完成以下任务:
剖析企业环境中的可信应用程序和进程的正常行为。
确定已用作攻击链一部分的可信任应用程序的行为。
分析普及率,以了解在环境中消除特定行为的潜在影响。
管理员可以将普及率分析与关联的 MITRE 技术相结合,帮助确定阻止哪些应用程序行为。可以安全阻止任何未使用或很少使用的行为。
举个例子就是,如果你的企业日常不使用powershell进行base64编码 那么在学习阶段结束后Symantec会把powershell进行base64编码这一行为拉黑使得攻击者无法利用powershell进行base64编码来绕过反病毒软件 反之如果你的企业经常使用powershell进行base64编码则会将这个行为其加入白名单,其他软件同理。
突发事件
此处会有Symantec根据操作生成的聚合警报,如EDR报毒/沙盒分析样本结果为恶意/检测到勒索软件活动等,相对于“调查”页面,此页面会提供更聚合的信息(比如一次攻击的完整kill chain),而且指向性更强(基本都是风险,而不是“调查”页面的什么都有)类型如下
EDR相关:
Symantec Endpoint Security EDR 能够识别和调查在已应用检测响应策略的设备上生成的事件数据。此策略引入了嵌入到托管设备上的端点活动记录器组件,以检测文件、文件夹、进程或设备的任何 IOC 中的粒度威胁。这种通过 EAR 预先识别您设备上的威胁,并建议将响应作为在设备上执行的操作的功能,为确保网络设备的安全状况增加了价值。
您还可以将已定义的事件字段用作端点搜索来创建自己的搜索查询,然后在设备上执行这些查询。EDR 能够为您提供实时系统活动可见性,并在检测可疑文件或进程时自动创建突发事件。
Symantec Endpoint Security EDR 会自动将可疑文件提交到沙盒以进行评估。如果发现沙盒文件包含恶意,则会创建事件类型 ID 为 8031 的事件。
SymantecAI 可生成突发事件摘要来辅助分析师调查事件,但这只适用于高级分析、云分析和 IPS 突发事件。
另外,我们可以在突发事件页面对事件进行一些处置,见下文。
MOLA测了一个案例,bat脚本下payload 触发了高级分析,让我们看看都有什么信息。
高级分析检测到突发事件
查看杀伤链(点击节点会有具体信息)
所有与杀伤链有关的事件
SymantecAI的分析
“初始访问途径尚不清楚。需要进一步调查以确定攻击者是如何在系统上站稳脚跟的。”用户双击的你能知道(不知道mola是敲的还是下载/复制过来的,如果复制或者敲的那确实没法防)
结论:端点“MOLA-Laptop”表现出可疑活动,表明有人试图使用合法的 Windows 工具“certutil.exe”解码可能恶意的负载(“AllTheThings.dll”)。(表现还行)
关于EDR性能横评可以看龟大整理的MITRE测试结果:MITRE ATT&CK Evaluation 2023年测试结果个人向排名+翻译
剩下的页面没啥写的必要 都是些设置啥的
放个客户端图
没错还是熟悉的SEP14风格,博通你能不能给赛铁换几个美工
另外还有个设置我没找到,这个基于AI的防护也是SESC独占,可能默认开了吧
支持文档(有中文超赞):Symantec Endpoint Security
结语
从SEP到SESC 可以看出赛铁也有了不小的变化,新增了不少功能,AI潮流也跟得上(后端还挺复杂的),他这个AI比趋势科技那个只会发支持文档的垃圾玩意强多了。相比SEP也藏了点技术(A杀)但是反病毒的主体仍和SEP一样。你要说多个A杀sep引擎就能一跃成为比肩t0引擎(di 卡巴 啥的)吗?也还差点意思,但我觉得赛铁也还行了,而且算是比较全能的(防火墙 dlp av edr啥的都还行 占用也不高)
控制端倒是大跃进了,还支持中文也有中文客服,而且赛铁占用一向低。AdvML是最好的”启发“(?误 SONAR是最好的主防!!!(破音)
总之作为赛铁炮我还是比较喜欢SESC的,作此篇与大家分享。
感谢GreatMOLA 空气等在测试引擎等时提供的帮助
|