安全测试

将终端安全提升到一个新水平的10个尖端工具

123.45 第二页
第2页,共5页

我们在一系列运行服务器和各种Windows端点的vm上测试了Sentinel。收集服务器将需要一个非常大的64GB内存和两个独立的千兆网卡。当您在CentOS机器上安装服务器时,它会设置一个基于web的仪表盘和管理控制台。控制台的设计非常简洁,有一系列的菜单用于智能总结、搜索、配置和报告。

有一个单独的仪表板来管理其基于cloudera的集群,该集群用于扩展更大的网络集合。集群用于分析:来自本地收集服务器的信息被删除、压缩并自动发送到云。

Sentinel的执行仪表板显示已检测到的内容以及它发现的感染或错误的严重程度。威胁由OS类型分组,拥有其他可自定义的过滤器,您可以深入钻取以检查其检测器的内容。

它有能力通过作为业务单位或补丁级别的因素自动关联威胁,因此您可以管理具有类似情况的端点集合。与其他产品一样,您可以查看整个恶意软件执行链,显示有关感染所采取的各种流程和步骤损害您的端点。它还可以查看DNS查询并将其映射到特定的运行进程,以便更容易地识别。

它的搜索功能非常强大,可以跨越许多安全事件,以获得发生了什么事情的完整画面。搜索结果可以保存在“收藏夹”队列中以供快速参考。当您发现网络事件并试图纠正它们时,搜索屏幕可能是您花费大部分时间的地方。补救措施包括能够隔离各种违规端点、终止特定进程、拒绝对特定端点的网络访问,或设置白名单以排除进一步观察的任何已知和良性进程。

《Sentinel》几乎所有内容都是可定制的。坏消息是,你必须学习Cyber Observable Expression (XML开源脚本语。这是各种供应商使用的,以帮助通过美国政府承包商思尔科的自动交换威胁数据和管理,因此您可以想象它在该社区中的广泛支持。

例如,您可以在电子邮件中表征一系列安全事件,该信息可以包含哈希文件或已被篡改的Windows注册表项的描述。然后可以在各种威胁管理系统中共享这些事件。所有Sentinel的检测配置文件都以这种语言编写,默认情况下包含多个示例。您可以使用这些脚本添加您自己的奇怪行为和暹粒和饲料集成。

有两种不同的传感器:基本的不到2MB,更高级的更小,更全面,更隐蔽。它们都不会出现在Windows控制面板的“正在运行的程序”列表中,也没有任何用户可访问的控件或其他桌面图标。

基本一个支持更广泛的OS收集,因为它使用Windows API而不是Sentinel API集。默认在SSL端口443上默认通信到集合服务器。服务器可以在VMware ESX虚拟机管理程序上安装在物理PC上或通过OVA文件安装。

Sentinel具有许多集成。它可以选择使用从端点收集的哈希数据进行散列数据进行查询,并报告将相关文件的防病毒引擎的数量进行报告。您还可以将其数据导出到各种SIEM工具以进行进一步分析。他们的分析可以与蓝色外套的安全分析工具集成。最后,您可以将各种屏幕上的报告导出到CSV文件。

Sentinel定价相对简单:有一个最多250个端点的入门包。除此之外,收集价格将根据每年50美元的常规端点或每年100美元至125美元的服务器而有所不同。想要部署解决方案的管理服务提供商有数量折扣和特价。

Crowdstrike Falcon主持人

从用户和IT管理员的角度来看,CrowdStrike的Falcon Host将几个功能组合成一个非常有吸引力的包。它是最容易安装的产品之一:您从一个基于web的控制台开始,以操作其服务器的云实例。从这里可以下载各种Windows、Mac和Linux终端的代理或传感器。Windows传感器有32位和64位的MSI文件:一旦安装了这些,它们会自动连接到服务器实例。桌面上没有任何界面,除了控制面板中已安装程序屏幕上的一个条目外,什么也没有显示。你甚至不需要重启电脑就可以使用该软件的保护功能。

猎鹰的核心技术是基于的非常行为。如果它之前,它试图首次分类,而不是专注于扫描终点进行扫描终点,而是首先进行分类。他们实时从云中更新他们的规则。当它找到匹配行为时,它会立即被阻止。与其他一些产品不同,您不会调整启动阻止动作的威胁阈值:Crowdstrike在其基于云的管理工具中执行此操作。

该公司声称,在不到几个小时的时间内就安装了8万个终端。这似乎是正确的,我们在几分钟内就启动并运行了我们的前两个端点。

主控制台的设计非常简洁:主菜单条位于左侧,子菜单分布在屏幕上方。主菜单分为三个仪表盘,关于产品更新和发布新闻指出,巩固安全事件提要叫演员,被发现在你的摘要端点收集、筛选工具,可以用来评估任何散列或使用拖放文件,一个调查控制台和一系列配置设置。这似乎非常合乎逻辑,并尽量减少在屏幕之间来回切换。

设置屏幕显示在响应子菜单中,并有一系列的开关,以启用各种功能,如阻止特定的exploit类别,感应Cryptowall或其他勒索软件或Windows登录绕过。他们在随后的更新中也加强了勒索软件的检测,并有一个YouTube上的演示视频.附带的FAQ解释了每个交换机完成的功能。

这三个仪表板包括发生的事项执行摘要,概述了网络中已检测到的内容,以及产品或通过手动干预解决的内容。所有这些都有一个很好的系列图表和图表是可操作的:如果找到特定的威胁,可以单击它并钻取,以获取有关发现的猎鹰以及它所做了什么的更多信息。在许多情况下,如果发现令人反感的东西,它将快速和自动地照顾它。

检测屏幕是你将花费大部分时间的地方。在这里,您可以看到谁已被感染,决定如何删除任何感染或使用其他工具分析漏洞。有一个更详细的事件搜索屏幕,以跟踪类似的事件。Splunk的流程链图是内置的,它向您展示了漏洞是如何通过您的端点移动的。也有搜索屏幕,您可以剪切和粘贴您的漏洞的哈希值,并进一步深入。

在我们进行评估的过程中,CrowdStrike为《Falcon》添加了一项名为“网络遏制”的新功能。这与它的竞争对手类似,你可以关闭PC的网络连接,允许与Falcon主机的通信阻止任何可疑的活动并执行任何必要的补救。它可以将特定的IP地址列入白名单,并与多个事件响应系统一起工作。

+也:三种使用云重新控制网络端点的方法+

调查屏幕有用户和计算机名称的搜索字段和时间范围。当您定位您的特定端点时,您可以查看该特定端点发生了什么事情的整个历史,它在互联网上连接的位置,什么zip和其他压缩文件已被下载,是否已附加任何可移动媒体和其他信息。所有条目都是热链接的,因此您可以进一步深入,查看是什么原因导致该行为被Falcon标记。

一个小限制是用户只能从同一网络域添加。

猎鹰很有深度,这是好事也是坏事。如果你有一个活跃的网络,有很多潜在的感染,你可能会被它的各种反应和总结屏幕淹没。但它也会自动处理最常见的感染,不需要任何操作员干预。CrowdStrike也提供免费主机数据收集工具称为人群响应.这可以收集系统信息,描述运行进程并使用yara事件响应器的规则,可以将报告输出到HTML以进行进一步分析。

Crowdstrike有一个独立的连接器,安装在房屋内,并交出有关攻击的信息,以获取各种暹粒工具。他们目前与IBM QRadar,HP AccSight,RSA安全分析,McAfee(以前的Nitro Security),TrustWave和Logrythm产品合作。它们还与各种其他安全伙伴合作,包括威胁Connect,Tripwire,Zscaler,威胁性,威胁性集团,Infoblox,风险,检查点和中心网络。这些集成通过良好的API。

Falcon的价格为每个终端每年30美元,并提供数量折扣。

Cybereason

Cyber​​ ay是基于SaaS的服务,也可以是作为基于VMware ESX的OVA文件包装的一系列Linux服务器。它具有支持直接从基于Web的管理控制台下载的Windows,Linux和Mac端点的代理。它专为实时恶意软件狩猎而设计,并具有一系列良好的可视化,以了解正在入侵网络的内容。

+相关:Cyber​​ ay通过实时狩猎可疑活动来实现网络终端安全+

控制台在左侧有一个小的弹出菜单,将指示您的仪表板的发现攻击,分析师使用的“malops收件箱”来解决问题,一个调查选项卡,您可以更详细地检查正在使用您的端点,以及您可以查找特定端点的系统选项卡,请参阅摘要统计信息,分配用户和下载代理以及十几个服务器日志。与其他产品相比,这台控制台相当瘦弱。

顶级“发现”,这是该公司所称的仪表板,将向您展示一个总结受感染的端点,当活动第一次打你的网络,并把他们的具体活动:纯粹的感染,特权升级,文件扫描、横向运动,指挥和控制服务器连接,任何数据盗窃。虽然这些分类很好看,但你需要点击特定的感染,以进入更详细的分析屏幕。

在这里,您可以使用大多数条目深入探讨正在进行的内容:例如,查看受感染的PC的所有网络接口,检查运行进程,并查看将端点标记为受感染的原因。感染链有一个很好的图形表示,类似于显示恶意软件进度的其他产品。

该显示有四个部分:概述,深入研究受感染进程的部分,以及与特定漏洞链接的用户和机器的更多详细信息。对于每个端点,您可以通过小图表观察磁盘、CPU和内存使用情况,以帮助标记奇怪的行为。与拥有自己的报告模块不同,其中一些信息可以导出为CSV文件,您需要在其中进一步处理它们,以理解您的行为。

一旦找到一些漏洞利用,您只需点击屏幕右下角的小“修复”按钮:这是为每种感染完成的。很容易第一次错过这个按钮。您可以选择行为行为的所有运行进程,或者仅选择一个。

为了帮助评估,Cybereason开发了一个沙箱,其中包含一些预先设置的恶意软件,以及如何使用其产品识别这些感染的说明。这对入门非常有帮助,因为管理控制台非常稀疏,没有任何帮助或其他文档。

和其他产品一样,你可以通过一个新添加的叫做攻击拦截器的功能断开终端。您还可以添加自己的安全情报提要,以帮助通过TAXI格式识别感染。缺点是:一旦PC机与网络断开连接或探针被禁用,您也无法管理它。

其他一些问题:Cyber​​eason需要一个大的分辨率监视器(1920x1200最好)查看其控制台;如果软件对较小的屏幕有响应性设计,这将是更好的。和显示健康PCS的系统/探针屏幕上的列表并不意味着它们是无感染的,而是他们的代理可以升级并运行,并且可以返回管理服务器。这有点令人困惑。这些缺点表明,Cyber​​ ay仍在增加大多数竞争的特征和能力。它的控制台设计得很好,它仍然需要一些工作。

123.45 第二页
第2页,共5页
工资调查:结果在