本帖最后由 隔山打空气 于 2026-3-19 11:18 编辑
未完成,更新中
0.简介
简介什么的,不需要了。自己查PANW和Cortex XDR吧。反正他家的硬墙很出名的,吃了Cyvera入场终端安全。
1.界面展示
浅浅展示一下部分区域的界面截图,有些界面因为我下面要用,就不重复展示了。
【Case(聚合事件)】
【Endpoint设备管理,Pro表示已激活XTH模块,具备完整的EDR数据采集能力】
2.防护技术介绍与部分测试
与许多基于TIETW的安全产品不同,Cortex XDR直接利用InfinityHook挂钩特定API,能够在内核态监控更多API调用,不必依赖于脆弱的三环钩子或是学习Elastic掘地三尺寻找特定API对应的ETW接口,也极大增强了EDR的数据采集广度。
如下图所示,Cortex XDR能够采集并解析包括Syscall与RPC调用在内的多种数据并展示给SOC。
告警显示注入器跨进程调用NtProtectVM与NtQueueAPCThreadEx(实为APCEx2)向explorer.exe发起注入;另一告警表明注入的shellcode尝试启动calc.exe时触发基于AI的shellcode防护检测。
【Cortex XDR检测进程注入与shellcode执行】
Cortex的shellcode防护主要由两部分构成,一部分为行为+特征码驱动的内存扫描,另一部分为基于多种ML方法的行为检测+内存分析,即AI-based Shellcode Protection。根据官方文章与实际测试,这些方法具备极低的误报率与一定的稳健性,针对已知家族与部分变形shellcode效果较好,但针对变形严重或未知的shellcode与某些内存免杀技术的检测效果则差强人意。
Cortex XDR拦截直接syscall,EDR异常检测规则中具有针对可疑的直接syscall行为的检测规则。
【直接syscall检测】
Cortex XDR能够检测与拦截天堂之门(32位进程调用64位 API)与地狱之门(最初的直接syscall)技术,且理应不受针对三环钩的绝大多数技术的影响。
【拦截漏洞驱动翻译内存行为】
Cortex XDR通过InfinityHook+对驱动Hook IRP/IAT来提供有效的纵深防护,能够检测并干扰多种漏洞驱动利用方式(包括发送IOCTL调用ZwTP杀进程/内核内存任意读写),即使攻击者成功加载驱动,也极有可能在尝试利用阶段被反杀。
【关联RPC调用ITask接口创建计划任务并告警】
Cortex XDR能够精确解析并关联常见RPC调用(计划任务,创建服务等)行为,在RCA图中展示,并具有对应行为的元数据。即使是不常见的RPC接口调用,Cortex也能全量采集其行为并通用解析。
3.EDR检测,狩猎与响应
除了信息分析-出图和关联能力之外,Cortex XDR也配备了大量的Analytics Rules异常检测规则,开箱即用,可跨设备、跨组织乃至使用全球范围内传感器数据进行建模分析,找出合法或可疑进程中的异常行为,是EDR告警规则中的主力。 Analytics Rules覆盖多阶段多种技术,包括但不限于:跨进程注入、可疑持久化行为、异常网络通信、DLL劫持、提权、LOLBIN/白进程异常行为、伪装等等。
【异常检测规则】
【异常检测告警-持久化】
上图展示了某银狐触发的检测。尽管其在合法文件夹投放的白加黑绕过了EPP的检测,但EDR仍在持久化阶段报告了有关持久化的ABIOC规则被触发。 *Cortex设计了基于持久化结果而非特定技术的“通用持久化检测”,核心思路为任何持久化技术的结果最终都会由特定合法进程拉起攻击者需要的进程。借由此思想,即使无法检测特定技术,也不影响其通过其他数据综合分析持久化发生的结果并告警。
【狩猎】 Cortex XDR的数据搜索可以使用多种简单到复杂的搜索方式,从填框到XQL规则;我们这里使用最简单的直接搜索文本,可以看到有一个符合我们的搜索条件的事件。我们点击“Continue in XQL”,可以将其快速转换为XQL语句并前往XQL搜索。 这种查询能直接查询到raw_data,我们换一种方式。
【狩猎2】 将鼠标放在事件的某一列中,右侧出现类似进程树的图标,点击即进入目标RCA图进行直观分析。此时我们能够看到大量行为数据帮助我们进行分析。点击右上角,我们可以启用远程终端或隔离网络等。
| 
发表于 
这次怎么这么短 酱酱颓废了(bushi
楼主