有没有在自己机器上装EDR代替杀软的？

izerosoul

wenshui1013 发表于 2024-12-7 10:48
edr不是主杀，epp才是主杀，epp+edr才完整，edr可以理解为辅助。
论坛里说的玩edr，是因为大部分厂商的edr ...

确实是这样，但EDR的EPP功能一般比常规的要简陋一些，行为分析方面又强一些，偏向性不同，所以查杀效果应该会有差异

神龟Turmi

izerosoul 发表于 2024-12-7 22:41
没有EDR优于EPP的意思，应用场景还是有差异的。

就是好奇EDR对常规病毒到底保护能力有多强

没有不恰当 因为绝大多数的EDR根本没有任何保护功能 所以EDR完全不能替代EPP
EDR提供的是行为的搜寻和异常告警能力
所有Response的操作都需要你自己手动来完成
即使有Automated Response基本也都是非常简单的终端隔离保留现场或者单步阻断

举个例子 趋势科技的VisionOne平台 EPP是45美元/设备/年 EDR是20美元/设备/年
你买了EDR之后并不会拥有ApexOne（EPP客户端）
如果你同时需要趋势科技给你提供保护（EPP）和检测（EDR）那你需要付的是45+20 而不是用20刀的EDR替代了EPP

就像我前面说的一样
你买了一个防火墙 你获得了控制网络通断的能力 或许你会同时得到协议检测能力（取决于产品） 但是你不会因为购买了防火墙得到终端保护能力
同理 你买了一个EDR 你获得了行为搜寻和异常告警能力 或许你会得到一些Automated Response的保留现场/阻止横向移动能力（取决于产品） 但是你不会因为购买了EDR得到终端保护能力 这是不同的产品线
很多厂商在尝试混淆这个概念（例如火绒把EPP叫做“EDR理念” 例如Arcabit把主防叫做“RoundKick EDR”）但是你只要搞清楚EDR就是Endpoint Detection & Response就不会被混淆到了

用卡饭大部分人最了解的卡巴斯基举例就是
卡巴斯基有单独的EPP（KES） 也有单独的EDR（KATA） 也有把这两个产品捆绑卖的EPP+EDR（KNext）
你不能用KATA代替KES 但是你可以用KATA作为KES的补充（也就是KNext）

izerosoul

神龟Turmi 发表于 2024-12-7 23:46
没有不恰当 因为绝大多数的EDR根本没有任何保护功能 所以EDR完全不能替代EPP
EDR提供的是行为的搜寻和异 ...

手动Response那都是老黄历了，看5楼，现在大多数EDR都带了Epp功能，并且是一体的，并不是apex one那种分离卖法

EDR和EPP很多功能都有重合，只是实现方式不太一样，而防火墙，沙盒和EPP功能分工都不一样，拿来类比EDR和EPP我认为完全站不住脚

Fadouse

EDR不能代替EPP

神龟Turmi

izerosoul 发表于 2024-12-8 00:07
手动Response那都是老黄历了，看5楼，现在大多数EDR都带了Epp功能，并且是一体的，并不是apex one那种分 ...

EDR和EPP捆绑卖不代表EDR有了EPP功能
你不是问谁在日常用EDR 谁在自己机器上装EDR吗 我在啊 所以我告诉你EPP和EDR是可以任意组合的啊
比如你用卡巴的EPP+趋势的EDR完全OK啊
你要看SentinelOne还是趋势还是Cylance？或者你想看我之前的Crowdstrike/WatchGuard/WithSecure 或者你想看我群里人的SESComplete/PaloAlto都可以好好讨论
只是我觉得你这不是很像想讨论的态度。。。

驭龙

神龟Turmi 发表于 2024-12-8 00:19
EDR和EPP捆绑卖不代表EDR有了EPP功能
你不是问谁在日常用EDR 谁在自己机器上装EDR吗 我在啊 所以我告诉 ...

神龟啊，不用说了，说这些干啥，看看你楼上介绍那么多，也没啥用啊

神龟Turmi

驭龙 发表于 2024-12-8 00:28
神龟啊，不用说了，说这些干啥，看看你楼上介绍那么多，也没啥用啊

我这不是担心别人以为EDR都是带EPP的
然后跑去买EDR结果发现没带EPP的尴尬情况嘛

驭龙

神龟Turmi 发表于 2024-12-8 00:30
我这不是担心别人以为EDR都是带EPP的
然后跑去买EDR结果发现没带EPP的尴尬情况嘛

还是神龟想的周到啊，毕竟不是EDR就有EPP的，哈

FD丶纸鸢

神龟Turmi 发表于 2024-12-8 00:19
EDR和EPP捆绑卖不代表EDR有了EPP功能
你不是问谁在日常用EDR 谁在自己机器上装EDR吗 我在啊 所以我告诉 ...

是这样的，一开始我也以为所有的EDR都是带EPP的（）直到我在外面搜到一个叫Huntress的EDR，看了一下貌似就是纯粹的EDR，EPP方面好像是靠WD的（）又或者可以和其他EPP搭配，具体不知道

神龟Turmi

FD丶纸鸢 发表于 2024-12-8 09:44
是这样的，一开始我也以为所有的EDR都是带EPP的（）直到我在外面搜到一个叫Huntress的EDR，看了一下貌似 ...

很多EDR厂商都不做EPP的
比如Fidelis Dragos Secureworks
也有的他们自己不做但是如果有客户要直接塞一个完全OEM啥都不改的给客户
比如Qualys
（参考：https://bbs.kafan.cn/thread-2268719-1-1.html）