查看: 11645|回复: 59
收起左侧

[分享] 戎码翼龙EDR初体验与介绍-未来可期的国产EDR

  [复制链接]
隔山打空气
发表于 2024-9-6 15:04:24 | 显示全部楼层 |阅读模式
本帖最后由 隔山打空气 于 2024-9-7 06:59 编辑

刚吃完深信服EDR和Tencent iOA-EDR,一时间被整的昏天黑地晕头转向不知所措——

诶,听说有个国产小CrowdStrike,这不得去尝尝?

就算是答辩,那冲着这UI倒也值得一试(

本贴所用到的所有授权由 @呵呵大神001 @t0kenzero @384也7492374 提供

首先进入仪表盘,这里展示整个组织整体的威胁情况与其他信息,并可以快速调取LLM生成报告

侧边栏如下,在这里选择不同的选项进入不同的功能区


威胁事件
将一个或多个不同告警关联整合为一个事件并打分,让用户确认优先级并统一处理,并可使用LLM一键总结事件,生成报告
通过上方的几个选项卡可快捷筛选不同状态的事件
点击 编辑 更新事件处置状态

-点击ATT&CK查看映射的技战术矩阵

-点击关联的告警显示行为检出事件中所有关联到的事件

-点击查看

图表展示了整个事件的RCA链路(下图与上图事件不归属于同一个事件)
注:这里内存操作显示的行为是注入到explorer

点击威胁响应可选择进程响应(处理进程),隔离文件,隔离网络,恢复网络选项(在下文的行为检出中保持一致)
点击下载PDF可将RCA分析图下载到本地
点击AI生成报告可以生成一份报告,可下载

行为检出
将单个或多个可疑行为关联为一个告警组,通常来说一个告警组内会关联到统一的根本原因
上方的选项卡用于筛选不同状态的事件
下图右侧中,打开事件可查看主机与进程的多种信息,攻击阶段等等,并执行响应操作
客户端内置的反病毒引擎能够检测并拦截已知恶意软件(执行前)
EDR检测到Direct Syscall技术
EDR精准检测到CS的内存与流量特征,并报告多个可疑行为特征
EDR检测到注入explorer的行为
EDR检测到已知漏洞驱动加载行为(但是也不会拦截)
EDR检测到向已知恶意域名发出DNS请求
EDR检测到典型的命令行删除卷影备份行为
需要指出的是,虽然Agent在设置中具有反勒索功能,但它只会检测并阻止破坏文件的典型行为,并不会保护卷影备份免受篡改
一些其他的检测技术(虽然这个是误报)

据说这款EDR还有一些其他的检测规则,比如可疑进程启动微信等等检测规则,也是非常的国产化了

让我们来看看这里的RCA分析图
这  下  看  懂  了
(其实早该看出来了)

威胁狩猎与威胁情报
威胁狩猎:用户能够在这里主动搜寻事件并保存查询规则,设定自动告警等等
威胁情报:在这里能够查询一些APT组织的情报,并能够自动联动EDR进行检测
但目前情报丰富度还是不足的(

配置中心
检测配置:其实也就是设置Agent携带的防护功能
居然有一个PE文件非白即黑阻止功能(((

白名单:顾名思义,能加白行为IOA和静态检测,解除并抑制告警
IOC管理:加白或拉黑文件HASH,但加白的HASH依然会继续触发包括静态检测在内的EDR告警
卸载密码:管理Agent卸载用的密码,或者设定为无需密码即可卸载
主机管理
在这里管理主机,能够查看主机的情况并远程下命令

就到这里吧,上次的Tencent iOA-EDR的图都丢了,现在想起来还是悲(
下次干活一定麻利点,不能拖拖拉拉的了(





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 12魅力 +1 人气 +31 收起 理由
红精 + 3 我也想用 怎用
1312773569 + 3 版区有你更精彩: )
星云劫 + 3 版区有你更精彩: )
驭龙 + 3 版区有你更精彩: )
Eunismal + 1 版区有你更精彩: )

查看全部评分

Eunismal
发表于 2024-9-6 15:16:13 | 显示全部楼层
这也太像CS了吧
隔山打空气
 楼主| 发表于 2024-9-6 15:19:25 | 显示全部楼层

确切的说特别像CS前一版的UI(

估计是照着做的,官网也一股子那味儿(

主打的就是国产自主可控CS
Eunismal
发表于 2024-9-6 15:30:00 | 显示全部楼层
本帖最后由 Eunismal 于 2024-9-6 15:31 编辑
隔山打空气 发表于 2024-9-6 15:19
确切的说特别像CS前一版的UI(

估计是照着做的,官网也一股子那味儿(

这个可以自助注册

控制台界面也比深信服的好看

隔山打空气
 楼主| 发表于 2024-9-6 15:33:07 | 显示全部楼层
Eunismal 发表于 2024-9-6 15:30
这个可以自助注册

控制台界面也比深信服的好看

深信服那个EDR我只能说(

不是绑着硬件或者决策定死了就别用了(

那个EDR真的不敢恭维(全量版的EDR)
Eunismal
发表于 2024-9-6 15:34:15 | 显示全部楼层
隔山打空气 发表于 2024-9-6 15:33
深信服那个EDR我只能说(

不是绑着硬件或者决策定死了就别用了(

官网没写,这个有Mac客户端吗?
隔山打空气
 楼主| 发表于 2024-9-6 15:36:20 | 显示全部楼层
Eunismal 发表于 2024-9-6 15:34
官网没写,这个有Mac客户端吗?

应该只有Windows客户端的(

这边客户端下载只有exe
IamAngry
发表于 2024-9-6 15:36:26 | 显示全部楼层
内置的啥引擎啊
隔山打空气
 楼主| 发表于 2024-9-6 15:38:11 | 显示全部楼层
IamAngry 发表于 2024-9-6 15:36
内置的啥引擎啊

我推断应该是奇安信的家伙什(

毕竟这家跟奇安信关系非常密切

而且我看见了Trojan.Win64.Shlem.e47这种报法了 真不是QCE引擎吗(
真小读者
发表于 2024-9-6 16:02:33 | 显示全部楼层
不太贵,可以玩玩


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:35 , Processed in 0.126506 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表