有没有在自己机器上装EDR代替杀软的？

izerosoul

神龟Turmi 发表于 2024-12-8 00:19
EDR和EPP捆绑卖不代表EDR有了EPP功能
你不是问谁在日常用EDR 谁在自己机器上装EDR吗 我在啊 所以我告诉 ...

那算我描述不严谨，我把问题改为：“使用带EPP功能的EDR代替杀软”，这样的话呢？

我比较感兴趣的是SentinelOne/Crowdstrike/PaloAlto/CarbonBlack这几个在个人机上跟传统杀软的效果差异，不过这几个个人都很难有条件安装。趋势我个人觉得能力比较弱，你说的其它几个我没接触过不熟。

干嘛语气这么冲啊，大家的回帖我也在认真回复，也没有灌水，还要怎么样才算好好讨论？

izerosoul

神龟Turmi 发表于 2024-12-8 14:54
很多EDR厂商都不做EPP的
比如Fidelis Dragos Secureworks
也有的他们自己不做但是如果有客户要直接塞一 ...

Qualys原本主要做资产管理相关的，我也好奇这种外行为啥也能做EDR了，EDR也不是没有门槛，原来如此，说不定后台链接的云都是直接连BitDefender的域名

FD丶纸鸢

izerosoul 发表于 2024-12-8 15:39
Qualys原本主要做资产管理相关的，我也好奇这种外行为啥也能做EDR了，EDR也不是没有门槛，原来如此，说不 ...

Qualys我记得还有自己的漏扫设备来的（）应该安全方面也不算太差
不过看到龟龟那个帖子还有点没绷住（）我勒个OEM啊

神龟Turmi

izerosoul 发表于 2024-12-8 15:28
那算我描述不严谨，我把问题改为：“使用带EPP功能的EDR代替杀软”，这样的话呢？

我比较感兴趣的是Se ...

没有冲 只是觉得先了解一下再否定别人会比较好

就拿我用了比较长时间的CS来说的话 如果你不会手动搜寻/不了解ATT&CK，CS你买不买EDR对保护没有任何差别
CS那边有预设的Go Pro Enterprise Complete四个套餐，也可以自己选择你要哪些功能来自定义套餐
其中Go是纯EPP Pro是EPP+威胁情报 要Enterprise才有EDR
（如官网所示：https://www.crowdstrike.com/en-us/products/ 只有Enterprise以上才有“Falcon Insight XDR”）
因为CS的EDR没有什么Automated Response功能，如果你买了EDR又不去用它那和只买EPP没什么差异
至于说EPP的话 CS的EPP强度是低于一流的NGAV的（此处指DeepInstinct和CheckPoint）
但是他们的狩猎服务（overwatch）介入特别快，漏了的样本大多数情况下只要在装了CS的设备上产生行为，会在很短的时间内被云拉黑
也就是因为这个，如果买CS然后各种测毒的话，一开始会被overwatch团队介入之后判定为testing，次数多了之后直接被封号
（我已经被CS封了两个号了）

至于S1，我现在写这篇回复的电脑就正在用

S1是少有的即使你不懂如何手动搜寻的情况下EDR也能起到一定作用的产品
因为S1有非常完善的Automated Response功能，称为STAR
（官方介绍：https://assets.sentinelone.com/storyline-active-response）
效果是当你设定的STAR rule匹配到了DataLake中的行为，就按你设置的方法完全自动的Response（例如结束进程，甚至标记为威胁触发回滚）
结果就是即使你不懂/没有时间一直盯着EDR，也可以用相对简单的方法配置出一套相当于单步主防的额外保护
这个几乎是S1独家的，除了S1我用过的十几家里没有第二家有这种级别的Automated Response能力
但是，如果抛开EDR的话（毕竟S1自己都在卖不含EDR的套餐），S1的EPP是属于弱的有点令人发指的水平
参考我之前做的测试：https://www.bilibili.com/video/BV1aN4y117ri
连我都能在只用公开技术的情况下绕过S1干不少事情

至于被你看不起的趋势，他们反而在EPP部分是有一些东西的
不同于个人版的摆烂，企业版的趋势EPP有TRX机器学习和newly encounter阻断
前者在NGAV中不算很强，但是他们提供了相对详细的报表可以给你参考，可以看导入表和模型猜测的类似家族来判断报毒是否可靠
（我在https://bbs.kafan.cn/thread-2276629-1-1.html中截图过）
后者是类似ESET的ELG的东西，遇到从未见过的PE文件阻止运行然后等待云分析，分析完成确认安全才通知客户端可以运行它

最后大概总结一下你说的“使用带EPP功能的EDR代替EPP”
其实很简单，就如我昨天已经说过的，EPP是EPP，EDR是EDR
你如果觉得这些EDR厂商（大概率是机器学习为主的NGAV）的EPP不是很可靠
完全可以只买他们的EDR，不要EPP
然后用你认为可靠的（比如传统特征码而不是机器学习）的EPP搭配他们的EDR
我就用过相当一段时间的卡巴EPP（KSOS）+趋势EDR（VisionOne Sensor）以及DeepInstinct的EPP+S1的EDR（S1的EPP和EDR是一个客户端，但是你policy不开启EPP就可以和其他EPP搭配使用，不会有兼容性问题）
所以不需要纠结为了EDR你得跟着换EPP的问题，放心大胆的单独加一个EDR即可，你目前在用什么EPP就接着用，不影响的

guichangxiang

ongarabazanade 发表于 2024-12-7 07:18
我没有。百度了一下，什麽是EDR。给不懂的坛友普及一下。
EDR（端点检测与响应）是一种网络安全解决方案， ...

算不算EDR？

izerosoul

神龟Turmi 发表于 2024-12-8 20:05
没有冲 只是觉得先了解一下再否定别人会比较好

就拿我用了比较长时间的CS来说的话 如果你不会手动搜寻 ...

感谢大佬这么长篇的回复，我认真看完了，获益匪浅。

我并不是不会手动搜寻，也不是不了解ATT&CK，我的回复都是基于我的认知，但我的认知在AV/EDR领域跟你差距应该不小，所以给你造成了那种印象，见笑了。

EPP加上EDR一起安装效果肯定是最好，这个我明白，我发这话题的原因是，在我的认知中，常规自带EPP的EDR的EPP功能一般是弱于常规EPP的，但是对部分免杀做的好的潜伏恶意软件EDR又会比EPP有更好的查杀效果，虽然可能查杀会有滞后。它们查杀方式侧重点不同，所以我是纯好奇，这样的情况下，长期使用到底自带EPP的EDR和传统EPP哪种保护能力更强。

相当于好奇两点：
1. 传统EPP查不出的后门，能有多大概率被EDR给查出来
2. EDR自带EPP查不出的毒，能有多大概率被传统EPP给查出来


再请教下大佬，你怎么弄到CS/S1这些测试账号的？不是只有企业才能购买么，并且对国内还有限制

神龟Turmi

izerosoul 发表于 2024-12-8 23:57
感谢大佬这么长篇的回复，我认真看完了，获益匪浅。

我并不是不会手动搜寻，也不是不了解ATT&CK，我的 ...

从EDR厂商提供的EPP来说，虽然最出名的EDR厂商（CS/S1/Cylance）的EPP都是以机器学习为主的（一般称为NGAV）
但是也不全是这样，例如CarbonBlack和Cynet的EPP就在机器学习的基础上还OEM了Avira，例如Trellix HX和Cybereason的EPP就在机器学习的基础上还OEM了Bitdefender
从我个人角度来说（不作为选购建议）我是非常支持厂商在NGAV还不成熟的情况下选择机学+传统二合一方案的

反过来，做NGAV的厂商也未必就做EDR，我最喜欢的NGAV之一（依然不是选购建议）的DeepInstinct就是纯EPP，没有EDR
而且现在NGAV和传统AV也没有特别明确的边界了，不止新生代厂商会用机器学习弯道超车，传统厂商也在做机器学习
例如ESET的ML/Argur和卡巴斯基的UDS:Trojan.xxx.GenericML.xnet现在也有很高的存在感

然后回答一下你的两个好奇：

1. 传统EPP查不出的后门，能有多大概率被EDR给查出来

以现在主流EDR的可见性，基本上是无法逃避的，各种后门的一举一动都会被记录下来
但是是否会自动产生高置信度的事件还是要取决于它们具体做了什么，例如只是建立了C&C回连和截图通常不会有什么高置信度事件（除非它用的是未二次开发的CobaltStrike Beacon之类可以明确检测的实现），如果你一直盯着EDR是有可能手动搜寻出一些行为的
但是如果它真的下手开始窃密（Dump LSASS/读取浏览器密码库）或者尝试横向移动（内网漏洞利用）基本上EDR都能产生明确的告警
这时候就又引出了两个问题
1.当它开始窃密了，EDR产生告警来得及吗？
这就是我之前说的，大部分EDR都没有很好用的Automated Response（除了S1 STAR），这就导致了EDR的事件和告警都是滞后的
因为EDR不会去阻止这些行为，虽然它能让你溯源整个攻击的发生和评估被窃取了多少信息，但那也只是事后诸葛亮的“死得明白”而已
2.EDR的Sensor进程本身可靠吗？
因为EDR Sensor不是Anti-Malware，所以它们通常不能得到AM-PPL的保护
现在比较主流的“致盲”EDR的方法就是直接干掉Sensor或者加载NFSDK之类的WFP驱动把Sensor断网
这在搭配使用来自不同厂商的EPP和EDR时候尤其明显，这种情况下EDR甚至不一定知道它的Sensor已经死了，只会在控制台显示终端离线
（这就是为什么有些公司的IT要求不允许关机，这样只要终端离线就知道有事情发生）
基于这两点，我始终认为即使你有最强的EDR你也需要搭配可靠的EPP来用，只装EDR不装EPP是完全不靠谱的

2. EDR自带EPP查不出的毒，能有多大概率被传统EPP给查出来

这很简单，你看看样本区的银狐就好了
那几家EDR厂商的NGAV压根没法扫描银狐的MSI格式安装包（没有训练用于检测MSI的机学模型）
即使是最强（我个人认为的）NGAV的DeepInstinct也只是能从行为拦截银狐的Shellcode，但是无法找出DirectSyscalls的本体
于是你就会看到它一次又一次的拦截来源不明的Shellcode加载和svchost注入，但是银狐的msiexec还活得好好的
另外，卡饭不止有我们这些玩安全软件的人在，也有病毒作者在偷窥
还是说银狐，参考Rapid7最近发的分析报告（https://www.rapid7.com/blog/post ... d-vietnamese-users/），在卡饭有不少人开始使用Elastic EDR之后银狐利用的漏洞驱动已经开始杀Elastic的进程了

基于上述，我相信他们在发布新的样本之前不止会测试传统EPP，也会测试EDR厂商的EPP（NGAV）

最后说一下购买的问题：
我没有哪家的测试账号，都是花钱买的正式授权，我有国内公司和英国公司，所以大部分的购买都不成问题
其实不卖中国公司的是少数，大部分都是可以卖的

↑ 授权书为证
具体说一下常见的几家厂商
CS：不卖中国公司，官网点上面的Small Business可自助下单，需要提供DUNS/税号，需要人工审核，EPP60美元/设备/年，EPP+EDR185美元/设备/年，最少起购5端点（测毒有封号风险，我已经被封2个号了，如果被封号不会退钱的）
S1：卖中国公司且有国内经销商，我没有和国内经销商接触过，美国的经销商报价为EPP45美元/设备/年，EPP+EDR65美元/设备/年，从经销商购买没有起购端点限制
Cylance：卖中国公司且有国内经销商，和S1是同一家国内经销商，美国的经销商报价我不记得了，但是肯定是两位数的价格，比CS便宜得多
DeepInstinct：（不是EDR厂商但也提一嘴）卖中国公司且有台湾经销商，42美元/设备/年，最少起购10端点
Elastic：开源的，可以自己部署也可以用他们官方云，不验证公司，自助注册下单就行
Cybereason：不卖中国公司，50端点起购，我没这么多设备所以没继续联系，价格未知
Cynet：联系之后要开会才能购买，我懒得了所以没继续联系，价格未知
PaloAlto：卖中国公司且官方有国内分公司，250端点起购，我没这么多设备所以没继续联系，价格未知
FortiEDR：25端点起购且只能以25的倍数为单位下单，美国经销商报价为EPP1000美元/25设备/年，EPP+EDR1500美元/25设备/年
Xcitium（Comodo）：官网就能直接下单，不验证公司，没有起购端点限制
Sophos：卖中国公司且有香港经销商，联系过但是想强行捆绑卖我EDR培训服务，就没买，带上门培训的EPP+EDR价格为6200港币/5设备/年
Emsisoft：官网就能直接下单，不验证公司，没有起购端点限制
ESET：官网就能直接下单，不验证公司，EPP没有起购端点限制，EDR最少购买25端点
卡巴斯基：官网就能直接下单，不验证公司，最少购买5端点
WatchGuard（Panda）：卖中国公司且有国内经销商，我没有和国内经销商接触过，美国的经销商报价为EPP40美元/设备/年，EDR54美元/设备/年，EPP+EDR69美元/设备/年
WithSecure（F-Secure）：卖中国公司，经销商不能开户，需要自己先联系官方开户才能找经销商购买，我联系的是英国经销商（因为他们的美国经销商说不能卖英国公司），EPP25英镑/设备/年，EDR38英镑/设备/年，EPP+EDR57英镑/设备/年（不含税）
SESC（赛门铁克）：卖中国公司且有国内经销商，论坛里的@呵呵大神001 买了，具体可以问他
Trellix ENS（McAfee）：卖中国公司，价格没问
Trellix HX（FireEye）：他们似乎不是很想卖这个系列了，我之前找销售他们疯狂推销ENS，自助在AWS下单没人理
趋势科技：WorryFree EPP可以官网在线下单，WorryFree EDR要找经销商，VisionOne可以在AWS/Azure自助下单，EPP45美元/设备/年，EDR20美元/设备/年
SonicWall：OEM的S1，EPP50美元/设备/年，EPP+EDR75美元/设备/年（比原厂还贵。。。）
Bitdefender：卖中国公司且有国内经销商，直接淘宝找经销商就行
DarkTrace：卖中国公司，但是不单独卖EPP或者EDR产品，强行搭售ZTNA，考虑到国内的法规和可用性没有继续联系
Fidelis：卖中国公司且有台湾经销商，不做EPP只有EDR，经销商劝我放弃（说Fidelis主要服务在10000设备以上的客户）
IBM QRadar：IBM员工告诉我他们自己都在用CS，建议我别买他们自己都不用的东西
CarbonBlack：不卖中国公司，且VMWare明确告诉我无法在中国大陆使用，遂放弃

izerosoul

神龟Turmi 发表于 2024-12-9 08:25
从EDR厂商提供的EPP来说，虽然最出名的EDR厂商（CS/S1/Cylance）的EPP都是以机器学习为主的（一般称为NGA ...

非常感谢这么详细的回复！今天比较忙我暂时只大概看了一下，你的回复对我非常有用，等空了我再详细拜读一遍