直播贴，公司财务电脑中毒了，鼓捣清除中

驭龙

神龟Turmi 发表于 2025-2-3 19:22
所以在最高级别的安全需求下 是直接二进制白名单
参考台达做的工控安全 不在白名单二进制的全部禁止运行 ...

感觉普通的EDR是真的不行，没人看着，中毒也没人处理，还是贵的MDR好，直接托管，让安全厂商出人盯着。

其实微软之前的DG功能，基本上就只能运行白名单规则下的东西，现在的SAC虽然对兼容性有提升，但是强度差太多了

神龟Turmi

驭龙 发表于 2025-2-3 19:26
感觉普通的EDR是真的不行，没人看着，中毒也没人处理，还是贵的MDR好，直接托管，让安全厂商出人盯着。
...

https://www.threatdown.com/pricing/
目前最低成本就可以玩到的原厂MDR 5设备起售 99刀/年/设备
因为不包含个人版新增的某个功能 所以企业版依然是对国内销售的
可惜他们自己没有SIEM MDR用的谷歌的SIEM（所以会造成国内用起来有个问题...嗯...你知道的）
但是能遥控原厂Hunter清理和补救 以及因为是原厂 发现误报他们几乎立马会人工拉白+还原 不需要自己去上报 是真的很爽

驭龙

神龟Turmi 发表于 2025-2-3 19:32
https://www.threatdown.com/pricing/
目前最低成本就可以玩到的原厂MDR 5设备起售 99刀/年/设备
因为 ...

唉，如果SIEM用其他家的就好了，这是有一点不方便了。

一年五百刀能用上MDR，确实是够便宜了，MDE都没这么爽

神龟Turmi

驭龙 发表于 2025-2-3 19:37
唉，如果SIEM用其他家的就好了，这是有一点不方便了。

一年五百刀能用上MDR，确实是够便宜了，MDE都没 ...

我那段时间用下来的体验就是。。。幸好SIEM事件需要处理（比如Hunter给你发了消息）会自动发邮件
不然不知道要让大洋彼岸的Hunter白等我多少时间（因为有时候他们遇到一些DualUse的工具 或者访问了一些在他们看来不正常的网站 他们会确认是不是你正常业务才会下手 只有绝对恶意才会不问你先斩后奏）

驭龙

神龟Turmi 发表于 2025-2-3 19:39
我那段时间用下来的体验就是。。。幸好SIEM事件需要处理（比如Hunter给你发了消息）会自动发邮件 ...

我们如果玩毒的话，大洋彼岸的hunter会很头疼，哈哈。

说起来，MDB的Automated investigation and remediation (AIR) 比较适合普通用户，虽然也有不拦截和修正的情况，但高危的行为都不需要人工处理，这个还是不错的。

神龟Turmi

驭龙 发表于 2025-2-3 19:47
我们如果玩毒的话，大洋彼岸的hunter会很头疼，哈哈。

说起来，MDB的Automated investigation and rem ...

这就是为什么你看我都没怎么测MB 给人家hunter增加工作量我有罪恶感（

驭龙

神龟Turmi 发表于 2025-2-3 19:59
这就是为什么你看我都没怎么测MB 给人家hunter增加工作量我有罪恶感（

没人气值了，明天补上。

inttk

神龟Turmi 发表于 2025-2-3 19:22
所以在最高级别的安全需求下 是直接二进制白名单
参考台达做的工控安全 不在白名单二进制的全部禁止运行 ...

效果很差   如果是外部邮箱钓鱼，还能拦截一部分（效果不佳）
如果是用企业内部员工的账号发的钓鱼邮件（ 比如部门领导的公司邮箱账号），这种就只能依靠员工向IT“举报”了

inttk

驭龙 发表于 2025-2-3 19:26
感觉普通的EDR是真的不行，没人看着，中毒也没人处理，还是贵的MDR好，直接托管，让安全厂商出人盯着。
...

这个有隐私顾虑吧，不是所有企业都愿意冒风险的
这种就算是“安全的”，也会变成内部政敌的攻击把柄呢

驭龙

inttk 发表于 2025-2-4 22:03
这个有隐私顾虑吧，不是所有企业都愿意冒风险的
这种就算是“安全的”，也会变成内部政敌的攻击把柄呢

你可能没有用过EDR？有的EDR是只记录可疑行为，不会记录本地电脑的全部操作和行为，所以这种情况下MDR的hunter 也看不到太多个人信息，也拿不到非可疑文件的