10尖端的工具，采取端点安全到一个新水平

以前 1234五 第2页 下一个

我们测试哨兵一系列的虚拟机，都运行在服务器和各种Windows端点。收集服务器需要的RAM一个非常沉重的64GB和两个独立的千兆网卡。当您安装CentOS的机器上的服务器，它建立了一个基于Web的仪表盘和管理控制台。控制台是非常简洁的设计，与情报汇总，搜索，配置和报告一系列菜单。

有一个单独的仪表盘来管理其基于Cloudera的簇，它是用来按比例增加为较大的网络的集合。群集用于分析：从本地收集服务器信息去重和压缩并自动发送到云中。

哨兵的执行仪表板显示的检测进行的总结和感染或错误，它已发现的严重程度。威胁是由OS类型分组，并有其他定制的过滤器，你可以深入研究什么衬托它的探测器。

它有能力等因素自动关联威胁，业务单位或补丁级别，这样你就可以管理与类似的情况下端点的集合。像其他的产品，您可以查看整个恶意软件执行链，呈现出不同的过程和步骤，一个感染了危及您的端点。它也可以看看DNS查询，并将它们映射到特定的正在运行的进程，便于识别。

它的搜索功能强大，可以跨越多个安全事件得到一个什么样的事情整个画面。搜索可以保存在快速参考的“最爱”队列。搜索屏幕可能是在那里你会花大部分的时间，为你揭开网络事件，并尝试修复它们。补救包括能够隔离各种违规端点，终止特定的工艺，拒绝特定端点的网络访问，或者设置白名单中排除从进一步观察任何已知的和良性的过程。

几乎有关Sentinel一切都是定制的。坏消息是，你将不得不学习网络可观测的表达（Cybox）XML开源脚本语言。这是使用由多家供应商帮助威胁数据的自动交换和美国政府承包商迈特公司管理，所以你可以想象它在社会各界的广泛支持。

例如，你可以在它可以包含一个散列文件或已被篡改的Windows注册表键的描述电子邮件描述了一系列的安全事件。这些事件随后可以在各种威胁管理系统的共享。所有的哨兵的检测曲线都用这种语言编写，一些样品的人都默认包含。您可以添加自己的古怪行为和SIEM和使用这些脚本饲料集成。

有两种不同的传感器：基本一个小于2MB，更先进的一个更小，更全面，更隐蔽。他们都不显示在Windows控制面板中运行的程序列表中，也没有任何用户可访问控制或任何其他桌面图标。

基本一个支持的操作系统的更广泛的收集，因为它使用了Windows API，而不是哨兵API集。这两个默认的SSL端口443进行通信以收集服务器。该服务器可以安装在物理机上或通过在VMware ESX管理程序的OVA文件。

哨兵有许多可用的集成。它有一个选项来自动查询VirusTotal与您的终端收集并报告说，考虑到相关的文件是恶意的防病毒引擎的数量散列数据。您也可将其数据导出到各种SIEM工具进行进一步的分析。而他们的分析可以与Blue Coat的安全分析工具相集成。最后，您可以导出各种屏幕上报告CSV文件。

定价为哨兵比较简单：有多达250个端点启动包。除此之外，收藏价格将根据每年或$ 50为$ 100到$ 125个每个年度的服务器经常端点变化。有管理的服务提供商数量折扣和特别谁想要部署他们的解决方案。

CrowdStrike猎鹰主机

CrowdStrike的猎鹰主机结合了多种功能集成到一个非常有吸引力的方案，无论是从用户和IT管理员的角度。这是最简单的产品之一进行安装：你开始使用基于Web的控制台运行其服务器的云实例。从那里，你下载代理商或传感器，适用于各种Windows，Mac和Linux的端点。在Windows传感器有32位和64位MSI文件：一旦安装了这些，他们会自动与服务器实例连接。没有比在控制面板中的已安装程序屏幕中的条目在桌面上没有任何接口，并没有显示出来等。您甚至不必重新启动计算机，开始使用该软件的防护功能。

猎鹰的核心技术是非常行为为主。相反，集中在扫描您的端点的感染，它会尝试先分类，如果它已经见过这种行为，它在做什么到你的机器。他们更新从云端实时的规则。当它找到一个匹配的行为，则立即阻止。与其他一些产品，你不调整阈值威胁那一脚关闭封锁行动：CrowdStrike这是否在其基于云的管理工具。

该公司声称的被安装在不到几个小时80,000端点一些大型设备。这似乎是准确的，而我们并与我们的第一对夫妇端点的几分钟内运行。

主控制台有一个非常简洁的设计：主菜单条的左边和子菜单在屏幕的顶部蔓延。主菜单分为三个仪表盘，新闻饲料有关产品更新和发行说明，统一的安全事件饲料叫演员，在你的终端收集，筛选工具，可用于计算任何哈希值的检测进行的总结或文件使用拖放，调查控制台和一系列的配置设置。这似乎很符合逻辑，并保持屏幕中以最小的来回切换。

的设置屏幕显示在响应子菜单，并具有一系列的通/断开关以启用各种特征，诸如阻断特定利用类别，传感Cryptowall或其他勒索或Windows登录旁路。他们已经加强了在后续更新的勒索软件检测过，有一个这在YouTube上的演示视频。有一个附带的常见问题，解释了每个开关完成。

这三个仪表板包括：发生了什么事的执行摘要，在网络中已检测什么，以及汇总已经或者通过产品或通过人工干预解决。所有有一个很好的系列图形和图表是可操作的：如果你找到一个特定的威胁，你可以点击它，并逐一查看什么猎鹰发现它的所作所为与它的更多信息。在许多情况下，如果发现某事反感，它会照顾它快速，自动地。

检测屏幕是在那里度过大部分时间。这是在那里你可以看到谁已被感染，决定做什么，以消除任何感染或分析利用的额外工具。还有一个更详细的事件搜索画面追查类似的活动。Splunk的到的过程链图的连接是内置的，你显示了如何通过漏洞您的端点移动。也有搜索屏幕，您可以剪切和粘贴的哈希值的你的攻击，并进一步深入。

当我们在经审核，CrowdStrike添加了一个名为网络遏制猎鹰新功能。这类似于其竞争对手，如您基本上可以关掉电脑的网络连接，允许与猎鹰主机通信，以阻止任何可疑的活动，并执行任何必要的补救措施。它可以列入白名单特定的IP地址和工作的几个事件响应系统。

+ ALSO：使用云三种方式来重新获得对网络端点控制+

该调查的屏幕具有为用户和计算机的名称和时间范围搜索领域。当您找到您的特定端点可以查看什么与该特定端点，它已经在互联网连接，什么zip等压缩文件下载完毕后，如果任何可移动媒体已连接等信息发生的整个历史。参赛作品都挂烫机，所以你可以向下进一步深入，看看是什么原因造成被猎鹰被标记的行为。

一个小的限制是，用户只能从同一网络域进行添加。

猎鹰有很多的深度，这是一个既好和坏的事情。如果你有很多潜在的感染的活动网络，则可能是它的各种反应和摘要屏幕所淹没。但它也需要照顾的最常见的感染的自动完成，无需任何操作员干预。CrowdStrike还提供免费主机数据收集工具叫众人响应。这可以收集系统信息，说明正在运行的进程，并与YARA规则工作事件响应和可输出报告HTML作进一步的分析。

CrowdStrike有安装在内部部署了约漏洞各种SIEM工具的信息和手单独的连接器。他们目前正在与IBM QRadar，HP ArcSight可，RSA安全分析，迈克菲（前身为硝基安全），TrustWave和LogRythm产品的工作。他们还与很多其他的安全合作伙伴，包括ThreatConnect，绊线，Zscaler中，ThreatQuotient，ThreatStream，Infoblox的，RiskVision，Check Point的和向心力网络的工作。这些集成是通过一个证据充分的API。

猎鹰将花费每人每年端点$ 30可用数量折扣。

Cyber​​eason

Cyber​​eason来无论是作为一个基于SaaS的服务或为一系列的打包为一个基于VMware ESX的OVA文件Linux服务器。它具有支持直接从基于Web的管理控制台下载了Windows，Linux和Mac端点代理。它是专为实时恶意软件狩猎和有一个很好的可视化系列，以了解什么是入侵您的网络。

+相关：Cyber​​eason上端实时网络安全通过狩猎的可疑活动+

中控台有左侧一个小的弹出式菜单，将引导你的发现的攻击仪表盘，“malops收件箱”，它是用来通过分析来解决这些问题，一查标签，您可以更详细地检查什么发生的事情与你的终端和系统标签，您可以查看特定端点，见汇总统计，分配用户和下载代理和十几服务器日志。相比其他产品，这个控制台是非常精干，干净。

顶级“发现板”，这是该公司所谓的仪表盘，会显示你感染的端点的摘要，当活动先打你的网络，并通过具体的活动并将其分类：纯感染，权限提升，文件扫描，横向运动，以命令和控制服务器的连接，以及任何数据被窃取。虽然这些分类是很好看的，你需要点击特异性感染去一个更详细的分析画面。

在这里，您可以深入与大多数条目探索什么是要去：例如，查看被感染的PC的所有的网络接口，检查正在运行的进程，看看为什么终点标记为受感染。还有就是感染链，类似于显示恶意软件的进步等系列产品的一个很好的图形表示。

有此显示四个部分：概述，一节，链接到一个特定的潜水深入到受感染的过程，以及有关用户和机器的详细信息利用。对于每一个端点，你可以观察到磁盘，CPU和内存使用率的小图，以帮助标志古怪的行为。而不是有其自己的报告模块，一些信息可以导出为CSV文件，你将需要进一步处理他们理解你的行为。

一旦你发现一些漏洞，你只需要点击一个小“[修复”按钮在屏幕的右下角：这是每个感染做。这是很容易错过第一这个按钮。您可以选择所有行为不端的正在运行的进程，或者只是选择一个特别。

与评估的帮助下，Cyber​​eason开发了包含有关如何使用其产品，以确定这些感染的说明书一起一些预先设定的恶意软件的沙箱。这可以在起步非常有益的，因为管理控制台是如此稀少，没有任何帮助或其他文档。

像其他的产品，您可以通过断开称为攻击拦截新添加的功能的端点。你可以通过出租车格式识别感染添加自己的安全情报资讯提供帮助。一个缺点：一旦电脑与网络断开连接或探头被禁用，你也不能管理它。

其他一些问题：Cyber​​eason需要大分辨率的显示器（1920x1200的最好），以查看其控制台;如果软件有响应式设计，以适应较小的屏幕还要好。和系统/探头屏幕上列出了节目健康PC并不真正意味着他们是感染免费的，但他们的代理商和运行，可以沟通回到管理服务器。这有点混乱。这些缺陷表明Cyber​​eason仍在增加功能和能力，大多数比赛都有。虽然它的中控台很好的设计，但它仍然需要一些工作。