将终端安全提升到一个新水平的10个尖端工具

以前的 123.4.5. 4. 下一个

离群值安全2.12

Outlier Security在EDR上有一个有趣的转变:他们结合了SaaS和on premises的优点。该公司有一些非常大的安装，包括一个拥有超过50,000个受保护节点的客户。它可以在几分钟内调出并运行。

您首先使用Web浏览器连接到SaaS门户网站：在此之前，您需要安装Microsoft Silverlight和.NET Framework。然后您下载其“Data Vault”。这驻留在本地Windows计算机上，该计算机用于使用Windows网络服务在网络上推出扫描。Vault由SaaS门户配置，可以在任何Windows机器上运行.NET。供应商建议每个Vault在不超过10,000个端点的情况下包含信息，以出于性能原因。

一旦安装了Data Vault，接下来要设置不同的“通道”，用于描述不同的端点扫描。这些通道定义了您的网络IP地址范围，您希望扫描的内容和自动调度。您可以为特定类型的设备设置不同的通道，例如特定部门中的所有pc，或处理敏感数据的端点，等等。完成扫描需要一些时间，特别是在更大和更复杂的网络上。

扫描有八个目标，包括进程、注册表元素、网络元素、用户和其他项目。一旦这些被指定，软件将开始寻找恶意软件。它根据内置的加权算法对每个项目打分，并将它们呈现在一系列屏幕报告中。您需要花一些时间来了解它的过滤能力，因为它提供了大量的信息需要筛选。

离群值从一个仪表板开始，它更像是一个特定操作的启动平台，比如显示警报、端点条件总结、发现了什么恶意软件，以及涉及横向移动或数据丢失的操作。一旦你进入其中一个活动，就会有两组菜单控件:首先是横跨屏幕顶部的高级系列，将操作划分为主仪表板、结果、调查和管理任务。然后还有一个有趣的循环菜单，用于其他更具体的操作:运行报告、纠正端点和过滤信息。当您运行修复任务时，它会询问您希望从端点删除哪些文件和注册表项。所有这些都需要重新启动端点，这是一个有点麻烦的过程，但考虑到没有任何代理软件，这是可以理解的。

Outlier是令人印象深刻的，因为它是无代理的，但只适用于Windows电脑。因为您定期执行它的扫描，所以它最好用于长期检测，而不是实时分析。他们最近增强了他们的api系列和Python SDK，允许你通过Splunk或AlienVault按需扫描终端。

定价为每个终端每年40美元，并提供数量折扣。

PROMISEC PEM V4.1.2

Promisec的方法略有不同:该产品由运行一系列模块的端点管理器(PEM)服务器和Sentries组成。这意味着端点上没有直接安装代理或传感器软件。相反，它在您希望监视的每个网段上使用基于windows (Server 2008或更高版本)的哨兵。

+更多:尽管威胁不断增长，但终点安全仍然不足+

这意味着它在分析中可以更加全面，因为您不必等待它们来支持特定的OS版本或嵌入式设备。端点可以运行任何窗口，Linux和Mac OS。它们通过SSH端口22和NMAP进行监控。

当您第一次启动电源模块时，有多达5个模块:合规、管理、自动化、电源管理和库存。它们都有自己的基于windows的控制台(不幸的是，没有Web版本)。库存控制台将向您显示端点集合的当前状态、检测服务器发现的硬件和软件应用程序的类型，以及自上次盘点以来新发现的内容的一个很好的清单。您可以通过计算机名称、IP地址、操作系统和其他十几个参数进行搜索，并将这些查询保存起来以便以后访问。

合规控制台将显示不符合规范的软件，以及看起来可疑的特定流程。可以右键单击某个条目并运行额外的取证,白名单的入口,以避免再次出现,接管控制一个特定的端点和安装软件,发送一条消息到机器,执行NMAP端口扫描,或查看什么特定的机器上运行。

可以从该特定控制台启动进一步的自动修复操作，例如安装软件，运行脚本或更新防病毒保护。最后，电源管理控制台可以在所有端点上设置一致的省电策略，并计算整体节能。鉴于在端点上安装的代理商是相当令人印象深刻的行动列表。

每个控制台都有自己的一系列预先设置的报告:例如，合规管理器就有超过60个预先设置的报告，比如端点缺少补丁、没有运行基于主机的防火墙等等。还有一个链接，可以下载整个用户指南的PDF文档。

点击顶层管理选项卡将会显示当前的值班表。这将显示您的PEM的一般状态，以及您可以在哪里设置审计跟踪，安排总体网络检查，显示哪些岗哨正在运行，以及如何在额外的网段上部署新的岗哨。如果你有不同的员工，你可以设置一系列的职责名册，覆盖你的网络的不同部分。

PEM有三种角色:具有设置策略的完全权限的管理员、可以查看系统状态、策略和报表的用户和只能查看报表的查看者。

Pem的核心是其安全政策，涵盖了很多地面。它们包括两个应该和不应该出现在端点的应用程序，如果PEM发现任何人都应该发生的事情。这些未经授权的项目包括对等软件，远程控制应用程序，黑客工具，特定文件或网络管理工具。这些项目中的每一个都具有广泛的程序列表，您可以在禁止的应用程序列表中打开或关闭。产品的这一部分有很多功率，而虽然它可能会繁琐，但它显示了PEM的深度。

例如，您可以指定每个版本的Windows都可以接受哪个Service Pack级别来传递您的合规策略。这里有许多其他选项，包括PEM来检测是否安装了防病毒程序但停止运行的功能：PEM可以尝试重新启动该服务并将其设置为自动启动以便将来重新启动。

除了所有这些特性外,还有大量的可扩展性内置产品你添加自己的行动如果进行不适合现有的类别,如做一个网段上的DNS查找,看看一些恶意篡改。唯一的问题是，这并不是真正的主动:一般来说，除非你以某种奇怪的方式被黑客攻击，否则你不会知道你不知道的事情。

我们在Windows 2012服务器上测试了PEM。您必须打开端口445，以便与您的端点通信。

Sentinelone端点保护平台v1.6.1

SentinelOne的端点保护平台有SaaS和本地版本，我们测试了SaaS产品。有一个基于web的管理控制台——就像这篇评论中的许多其他产品一样。它也有一个干净的工具集合，主菜单列在左边，子菜单列在顶部。

+也:终端安全公司SentinelOne向传统杀毒软件发起了挑战+

主菜单类别包括一个摘要仪表板，显示来自该公司博客的实时新闻，以及显示威胁来源的世界地图。还有其他用于网络活动的菜单、一系列分析例程和事件黑白名单。与本评论中的其他产品一样，它提供了接近实时的事件信息。

仪表板非常简单，但如果你在一个大型网络上运行SentinelOne，你很容易被事件淹没。例如，一个基本干净的端点可以在几天内生成几十个行为。与竞争对手的仪表盘不同，可操作或可直接点击的元素并不多。

当SentinelOne发现一个恶意软件时，它会告诉你它第一次在你的网络上看到的位置，以及数十个安全服务机构的攻击向量的声誉。如果您想要添加提要，您将不得不聘请该公司将其作为定制添加，尽管该公司计划在今年下半年将其API公开给该功能。

此外，它还连接到reversinglabs和其他馈送，您可以在其中查看漏洞的哈希和其他元数据。如在本次审查中，它提供了一个图形的“故事线”，您可以看到它的攻击的攻击用来找到它进入你的终点。可以以几种常见格式之一下载威胁信息，包括CEF，STIX和OpenIoc.Aditional报告可以在Acareze Menu Page上的JSON或CSV文件中下载。

在每个屏幕的右上方是一个简单的交通灯图标，当工具发现一个活跃的威胁(红色)或缓解它(黄色)时，它会改变颜色。如果您正在运行一个活跃的网络，它可能总是显示黄色信号。

它的设置表有一个简单的开关集合，以启用基于云计算的机器智能，是否打开其“学习模式”，以建立一系列基线操作。在设置屏幕中还有其他自动操作，如发送警报、终止进程、断开PC与网络的连接、手动修复PC以删除文件、回滚到恶意软件(如勒索软件)执行前的文件版本或隔离某些东西。

它的网络容纳功能具有拨动交换机有两个设置：一个是自动免疫的，其中代理可以共享新的智能，以提出块威胁，以及第二个开关，以阻止除了服务器的控制面板之外的所有连接。当您通过这些操作断开连接或包含PC时，您仍然可以从其控制台管理，类似于竞争对手的产品。

SentinelOne安装速度很快，但有一些安装限制。它的代理需要双核CPU和至少2GB RAM才能运行。对于Windows终端，需要重新启动，并且该软件在控制面板中显示为正在运行的应用程序。它支持Windows 7到Windows 10，包括R2 Windows Server 2008和2012版本。

如果你正在运行原Windows 7操作系统，需要安装此补丁。它还支持Mac和Cenos和Red Hat Linux端点。其基于Linux的服务器可在SaaS和Previses版本上提供，以及用于Microsoft Hyper-V，VMware和Citrix Xen的几个虚拟机包。这是一个很好的终端集合集和VM环境。

另一个问题是其管理用户只有两个角色：完整的系统管理员或帮助台角色 - 后者无法修改配置设置，执行系统更新或添加或删除用户。该公司将增加一年晚些时候定制角色的能力。我们的审核后也添加到产品中，该计划更新包含组策略元素。代理只能属于单个组，但可以将策略应用于多个组。

SentinelOne的桌面代理有一个系统托盘图标，当它被最大化时，将显示它检测到的威胁和它正在监视的进程。这比大多数竞争对手的代理都要冗长。

价格从每个终端每年45美元起，并根据销量下降。这个价格包含了产品的所有功能和各个模块。