本帖最后由 隔山打空气 于 2024-9-7 06:59 编辑
刚吃完深信服EDR和Tencent iOA-EDR,一时间被整的昏天黑地晕头转向不知所措——
诶,听说有个国产小CrowdStrike,这不得去尝尝?
就算是答辩,那冲着这UI倒也值得一试(
本贴所用到的所有授权由 @呵呵大神001 @t0kenzero @384也7492374 提供
首先进入仪表盘,这里展示整个组织整体的威胁情况与其他信息,并可以快速调取LLM生成报告
将一个或多个不同告警关联整合为一个事件并打分,让用户确认优先级并统一处理,并可使用LLM一键总结事件,生成报告 通过上方的几个选项卡可快捷筛选不同状态的事件 点击 编辑 更新事件处置状态
-点击ATT&CK查看映射的技战术矩阵
-点击关联的告警显示行为检出事件中所有关联到的事件
-点击查看
图表展示了整个事件的RCA链路(下图与上图事件不归属于同一个事件) 注:这里内存操作显示的行为是注入到explorer
点击威胁响应可选择进程响应(处理进程),隔离文件,隔离网络,恢复网络选项(在下文的行为检出中保持一致) 点击下载PDF可将RCA分析图下载到本地 点击AI生成报告可以生成一份报告,可下载
行为检出 将单个或多个可疑行为关联为一个告警组,通常来说一个告警组内会关联到统一的根本原因 上方的选项卡用于筛选不同状态的事件 下图右侧中,打开事件可查看主机与进程的多种信息,攻击阶段等等,并执行响应操作 客户端内置的反病毒引擎能够检测并拦截已知恶意软件(执行前) EDR检测到Direct Syscall技术 EDR精准检测到CS的内存与流量特征,并报告多个可疑行为特征 EDR检测到注入explorer的行为 EDR检测到已知漏洞驱动加载行为(但是也不会拦截) EDR检测到向已知恶意域名发出DNS请求 EDR检测到典型的命令行删除卷影备份行为 需要指出的是,虽然Agent在设置中具有反勒索功能,但它只会检测并阻止破坏文件的典型行为,并不会保护卷影备份免受篡改 一些其他的检测技术(虽然这个是误报)
据说这款EDR还有一些其他的检测规则,比如可疑进程启动微信等等检测规则,也是非常的国产化了
让我们来看看这里的RCA分析图 这 下 看 懂 了 (其实早该看出来了)
威胁狩猎与威胁情报 威胁狩猎:用户能够在这里主动搜寻事件并保存查询规则,设定自动告警等等 威胁情报:在这里能够查询一些APT组织的情报,并能够自动联动EDR进行检测 但目前情报丰富度还是不足的(
配置中心 检测配置:其实也就是设置Agent携带的防护功能 居然有一个PE文件非白即黑阻止功能(((
白名单:顾名思义,能加白行为IOA和静态检测,解除并抑制告警 IOC管理:加白或拉黑文件HASH,但加白的HASH依然会继续触发包括静态检测在内的EDR告警 卸载密码:管理Agent卸载用的密码,或者设定为无需密码即可卸载 主机管理 在这里管理主机,能够查看主机的情况并远程下命令
就到这里吧,上次的Tencent iOA-EDR的图都丢了,现在想起来还是悲( 下次干活一定麻利点,不能拖拖拉拉的了(
| 
[复制链接]
发表于 2024-9-6 15:04:24
楼主
