Trend Vision One EPP+EDR 上手安装体验+图赏

Loyisa

前排先感谢龟龟提供的EPP+EDR授权和大力支持 @神龟Turmi  

---

1.  没人看的公司介绍
    趋势科技1988年成立于美国加州，有鉴于层出不穷的电脑病毒肆虐，造成电脑用户莫大的损失及困扰，趋势科技创办人张明正于是锁定电脑安全、病毒防治为趋势科技的主要利基市场。科技全球约有 6000 名员工，包含亚洲、美国、南美洲和欧洲皆设有据点。成立以来，平均每年成长率逾 80%, 这是一家自PC 、network server 至 Internet gateway的全方位电脑防毒领导厂商。 ——百度百科

---

2.1 安装(前)
由于这并不是一款家用杀毒软件(废话!), 所以杀软设置需要在安装前需要自己配一遍策略。

我们进入 终端安全(ENDPOINT SECURITY)，选择 终端安全配置(ENDPOINT SECURITY CONFIGURATION)下的 标准终端保护(Standard Endpoint Protection)。


点击 策略(Policies) 进入 策略管理(Policy Management)， 然后点击 新建策略(Create Policy)，就可以开启愉悦(我从来没觉得配策略开心过)的配置之旅啦~


注: 如果没说明，图片上的都是默认设置

---

反恶意软件扫描
Target

这里可以填写策略名，Targets那边可以指定要部署策略的终端，由于这里我们没有安装完Agent，安装完后再设置。

常规设置(General Settings)

这儿可以调整扫描方式，传统扫描(Conventional scan) 只会使用本地的特征库，而智能扫描(Smart scan)则会额外使用云端的特征库。
动态智能模式(Dynamic Intelligence Mode) 则能够根据检测到的威胁、用户行为和系统上下文自动调整监控级别，个人理解是类似于蛐蛐个人版遇到很多毒会自动调整为高敏感模式的玩意。
监控级别(Monitoring Level) 这个就不用多说了，默认就行！

实时扫描

这里感觉没什么好说的，可以设置:
在什么时候扫描(创建/修改及读取时，创建/修改时，读取时)
扫描文件模式(所有可扫描的文件，IntelliScan(智能扫描)，指定后缀名)
还有个人版杀毒软件常见的设置，这边就不展开了

检测后的操作


扫描排除


计划扫描/手动扫描/立即扫描
和实时扫描的设置差不多 这边放个图吧

计划扫描



手动扫描


立即扫描

---

高级威胁防护
这儿应该是和家用产品区别最多的模块了
行为监控

看到了吗！自动备份并恢复被可疑程序更改的文件(Automatically back up and restore files changed by suspicious programs)!
蛐蛐终于有回滚啦！！！！
这里可以设置:
监控级别
恶意软件行为拦截(不知道为什么 阻止通常与勒索软件相关的进程 和 反漏洞利用防护 没有默认启用，这里我勾选了)
新遇到的程序(监控通过网页或电子邮件应用程序渠道下载的新程序，并提示用户是否允许)
和事件监控


预测性机器学习

这儿可以设置监控级别(我拉满了！) 和检测后的操作
注意: 蛐蛐的机器学习不参与扫描，只参与监控(but why??)

网页评级


可疑连接


漏洞防护

不知道为什么是默认关闭的，我手动开启了

设备控制

能设置可以使用的设备

应用控制

可以设置拦截的应用，这里会默认拦截灰色应用

---

其他的功能

终端传感器

被EDR替换乐

样本提交

没授权，哭哭

排除列表


间谍软件/灰色软件允许列表

3721瞩目

Agent 更新


权限和其他设置
这里可以设置，哪些设置能在终端上显示，卸载/退出密码 和 通知设置





附加服务设置

---

开启EDR
EDR需要在终端安全配置->终端安全策略内开启


选择需要开启的策略(默认应该是去Standard Endpoint Protection General Policy里面开启)|


然后开启EDR

---

2.2 安装(后)
经过了前面的紧张刺激的配置后，终于可以安装Agent到终端上啦！

点击终端安全里的终端清单


点击右上角的终端安装器


再根据你的需求选择终端类型和系统类型，点击下载


下载下来的安装包大概有600MB


解压后双击EndpointBasecamp.exe 即可开始安装


第一次安装要等待很久很久


提示重启之后点击重启

等待你的终端出现在终端清单内，然后去策略那边指定你的终端


选中你的设备 点击 Add Selected Targets ，再点击OK

再去点击左下角的 Deploy ，大功告成！

---

3. 体验
安装过后，右下角会出现两个小图标


一个是Apex One Security Agent


另一个是Trend Vision One Endpoint Security


这个Endpoint Security 为蛐蛐的EDR部分，这也是为什么 Apex One里的终端传感器为灰色的原因（蛐蛐到底分了多少个EDR)

---

3.1 随堂小测
这里我们使用 Github 上的 Dirty-Vanity 来随便测一下EDR(主要是不想实机双击样本，万一被过了岂不是很丢人)

可以看到，蛐蛐成功的检测出了注入行为
EDR过了一会也在控制台上显示了响应

---

总结
Trend Vision One在防护和UI上都挺不错的(除了那两个分裂开来的Agent!!!!)，有点闲钱(epp 45刀+edr 20刀)的话可以试一试

神龟Turmi

dnv555 发表于 2025-5-11 18:12
我有个电脑装的就是云端版，没发现有什么新功能，不知是不是它的真功夫隐在里面

机器学习（TRX报法 4档敏感度可调）

单步更改阻止

未知新文件阻止（可以理解为趋势版ELG 云没见过的全部阻断直到判白）

以上重要EPP功能个人版全部没有 而且看样子趋势也没有打算下放给个人版
所以我从来没推荐过趋势的个人版 和企业版完全不是一个级别的

神龟Turmi

Loyisa 发表于 2025-5-11 19:39
个人版的应该是最低人一等的了，还会卡网，蛐蛐企业版会走 azurecdn 就好多了

不是cdn
是单独给你开了一台azure的云服务器当云查杀后端

可以自选区域 每5设备1台

神龟Turmi

你这是体验还是图赏（小声bb

Loyisa

神龟Turmi 发表于 2025-5-11 15:09
你这是体验还是图赏（小声bb

当然是图赏啦！(这不是有上手安装吗)

神龟Turmi

Loyisa 发表于 2025-5-11 15:10
当然是图赏啦！(这不是有上手安装吗)

个人版用户最馋的机学你都没试试（

Loyisa

神龟Turmi 发表于 2025-5-11 15:13
个人版用户最馋的机学你都没试试（

有空试试

dnv555

太高大上了，还是英文，非平凡人所用。终于有回滚了，就是不知趋势科技云端版的个人版有没有升级这些功能，估计这才是众人所盼

dnv555

神龟Turmi 发表于 2025-5-11 15:13
个人版用户最馋的机学你都没试试（

我有个电脑装的就是云端版，没发现有什么新功能，不知是不是它的真功夫隐在里面

Loyisa

dnv555 发表于 2025-5-11 18:12
我有个电脑装的就是云端版，没发现有什么新功能，不知是不是它的真功夫隐在里面

个人版的应该是最低人一等的了，还会卡网，蛐蛐企业版会走 azurecdn 就好多了