[长评]赛门铁克技术的集大成者——Symantec Endpoint Security Complete测评

abcpanpan

我记得之前用赛门铁克，超级卡。

隔山打空气

Picca 发表于 2024-8-23 21:36
好文章。

并不是，这个更接近于卡巴的自适应异常控制与MDAV的ASR规则，但是规则项更多，也更容易细调维护

00006666

nvwcc 发表于 2024-8-23 18:46
本来我还想年底到期后，把公司的火绒换成深信服EDR。结果我要去海外转岗了

火绒那个其实是EPP，后台确实会比EDR简单

Picca

隔山打空气 发表于 2024-8-23 22:24
并不是，这个更接近于卡巴的自适应异常控制与MDAV的ASR规则，但是规则项更多，也更容易细调维护

谢谢回复，看了看确实更像是KES的自适应异常控制。看介绍，规则一般是卡巴专家创建的，管理员进行配置，处理报告，但总觉得像是基于卡巴HIPS的拦截点和功能的多步行为检测的延伸

Picca

隔山打空气 发表于 2024-8-23 22:24
并不是，这个更接近于卡巴的自适应异常控制与MDAV的ASR规则，但是规则项更多，也更容易细调维护

没有人气了，明天补上

呵呵大神001

Picca 发表于 2024-8-23 23:11
谢谢回复，看了看确实更像是KES的自适应异常控制。看介绍，规则一般是卡巴专家创建的，管理员进行配置， ...

KES也有学习模式 不是必须全部管理员配置
不然怎么说是“自”适应呢 反而ASR好像没有自适应功能 他强调攻击面减少= =

Picca

呵呵大神001 发表于 2024-8-24 16:34
KES也有学习模式 不是必须全部管理员配置
不然怎么说是“自”适应呢 反而ASR好像没有自适应功能 他强调 ...

谢谢回复，其实一直有个疑惑。像是APT这种，攻击者会不会恰巧在学习模式的训练中的时候，进行入侵呢？
如果说不是全部管理员配置，那没有安全专家的监督，这些学习的行为会不会被人为地混入“有安全风险的规则”。我能想到的解决方式，就是断网训练，联网工作，但肯定会有一些兼容问题。感觉这种自适应的本质还是类hips的功能，具体使用应该很麻烦，且训练和维护成本应该不是普通公司能 承受的。
反倒是ASR这种既定好的（不是很了解，说错请指出）规则，实用性应该更广泛吧

呵呵大神001

Picca 发表于 2024-8-24 19:39
谢谢回复，其实一直有个疑惑。像是APT这种，攻击者会不会恰巧在学习模式的训练中的时候，进行入侵呢？
...

赛门铁克引入了"热度图"机制，热度低的行为很可能就被加入黑名单了

Picca

呵呵大神001 发表于 2024-8-24 23:23
赛门铁克引入了"热度图"机制，热度低的行为很可能就被加入黑名单了

听上去像是云信誉的延伸，不明觉厉

呵呵大神001

Picca 发表于 2024-8-24 23:28
听上去像是云信誉的延伸，不明觉厉

有相似之处，但是云信誉是所有端点的 这个自适应防护仅限于这个账户的受控设备