10尖端的工具，采取端点安全到一个新水平

以前 1234五 第4页 下一个

离群值安全2.12

离群安全在EDR上有一个有趣的转变:它们结合了SaaS和前提世界的优点。该公司有一些非常大的安装，包括一个拥有50,000多个受保护节点的客户。它可以在几分钟内启动并运行。

您第一次连接到它的SaaS使用Web浏览器门户：在这样做之前，您需要同时安装微软的Silverlight和.Net框架。然后，你下载的“数据保险库。”此驻留在使用Windows网络服务用于启动扫描整个网络中的本地Windows计算机上。通过SaaS门户，并且可以运行.NET任何Windows机器上的保管库提供。供应商建议的每个存储库包含上没有超过10,000个终端性能方面的原因的信息。

一旦你安装了数据保险库，您所使用的下一个设置不同的“通道”来描绘你的各种端点扫描。这些通道定义网络的IP地址范围，您希望扫描并自动时间表是什么。您可以为特定类型的设备上，如在一个特定的部门处理敏感数据，等等所有电脑或端点设置不同的通道。该扫描需要一段时间才能完成，尤其是在更大，更复杂的网络。

有8个目标是扫描，包括进程，注册表元素，网络元素，用户和其他项目的一部分。一旦这些被指定，软件将开始寻找恶意软件。它的分数根据每个项目的内置在一系列屏幕上的报告，加权算法，并提出他们。你会想花一些时间来了解它的过滤能力，因为它提供了大量的信息中进行筛选。

离群开始了与仪表板更是为特定的动作，如显示警报，端点条件的总结，有什么恶意软件被发现，和行动涉及的横向移动或数据丢失的发射台。一旦你进入这些活动有两套菜单控件中的一种：首先是在屏幕上方的高级别系列划分主仪表板，结果，调查和管理任务之间的行动。再有就是对其他更具体的行动了一个有趣的圆形菜单：运行报告，补救端点，并过滤信息。当您运行修复任务，它会询问您希望从端点删除的文件和注册表项。这些都将需要端点重启，有点繁琐的过程，但可以理解的因为没有任何代理软件。

离群令人印象深刻，因为它是无代理，但只适用于Windows计算机。因为你定期执行其扫描，最好是用于长期检测，而非实时分析。他们最近加强了其系列的API和Python SDK，让您无论是通过Splunk的或AlienVault按需扫描的端点。

价格为每年每个端点40美元，并提供数量折扣。

Promisec的PEM V4.1.2

promise ec的方法略有不同:该产品由运行一系列模块的端点管理器(endpoint manager, PEM)服务器和岗哨组成。这意味着没有直接安装在端点上的代理或传感器软件。相反，它在您希望监视的每个网络段上使用基于windows (Server 2008或以上)的岗哨。

+更多：端点安全性仍然不足，尽管日益增长的威胁+

这意味着它可以在其分析更全面，因为你不必等待他们支持特定的操作系统版本或嵌入式设备。端点可以运行任何Windows，Linux和Mac OS。他们通过SSH端口22和NMAP监控。

第一次使用PEM时，最多有五个模块:遵从性、管理、自动化、电源管理和库存。每个都有自己的基于windows的控制台(遗憾的是没有Web版本)。inventory控制台将向您显示端点集合的当前状态、检测服务器发现的硬件和软件应用程序的类型，以及自您上次进行盘点以来的最新内容。您可以根据计算机名称、IP地址、操作系统和其他十几个参数进行搜索，并将这些查询保存起来，以便以后方便地访问。

合规控制台会显示软件是达不到规范，并且看起来可疑的特定进程。你可以在某个特定的条目，右键单击并在其上运行的其他取证，白名单中的条目，以避免它再次显示出来，接管特定端点的控制，并在其上安装的软件，将消息发送到该机器，执行NMAP端口扫描或查看还有什么是特定的机器上运行。

另外自动修复动作可以由特定的控制台启动，如安装软件，运行脚本，或更新防病毒保护。最后，电源管理控制台可以建立在所有端点连贯的节能政策，并把它计算总的能源节约。由于没有安装在端点上的任何剂，其动作相当令人印象深刻。

每个控制台都有自己的一系列预先设置的报告:例如，法规遵循管理器提供了60多个预先设置的报告，比如端点丢失补丁、没有运行基于主机的防火墙等。还有一个链接可以下载整个用户指南的PDF版。

单击顶级管理选项卡将调出现役人员名册。这将向您展示PEM的一般状态，以及您可以在何处设置审计跟踪、安排整体网络检查、显示哪些岗哨正在运行以及如何在额外的网络段部署新岗哨。如果你有不同的员工被分配到不同的岗位，你可以建立一个覆盖网络不同部分的值班表。

PEM有三种角色：谁拥有完全访问权限设置策略可以更改管理员，用户谁可以查看系统状态，策略和报告，以及谁的观众只能看到报告。

在PEM的心脏是它的安全策略，涵盖了许多内容。它们包括应该和不应该出现在端点上，如果PEM发现有什么不对劲会发生什么这两个应用程序。这些未经授权的项目包括对等网络软件，远程控制应用程序，黑客工具，尤其是文件或网络管理工具。每个项目都有的程序，你可以打开或关闭禁止应用程序列表切换详尽清单。有一个在这部分产品大量的电力，而它可能变得单调而乏味，它显示了PEM的深度。

例如，您可以指定哪些Service Pack级别被认为是针对Windows的每个版本通过您的合规性政策可以接受的。这里有许多其他选择，包括能力，如果安装了防病毒程序，但停止投放PEM检测：PEM可以尝试重新启动该服务，并将其设置为自动在将来重新引导启动。

In addition to all of these features, there is also lots of extensibility built-in to the product where you add your own actions to be carried out if something doesn’t fit into its existing categories, such as do a DNS lookup on a network segment to see if some piece of malware has tampered with it. The only trouble is that isn’t really proactive: generally you don’t know what you don’t know until you have been hacked in some odd way.

我们测试了PEM在Windows 2012服务器上。你要打开445端口为它与端点通信。

SentinelOne端点保护平台V1.6.1

SentinelOne的端点保护平台有SaaS和on-premises两种版本，我们测试了SaaS产品。有一个基于web的管理控制台——就像本文中提到的许多其他产品一样。它也有一个干净的工具集合，主菜单列在左侧，子菜单在顶部。

+也:终端安全公司SentinelOne挑战传统的杀毒软件+

主菜单类别包括摘要仪表板，显示了来自该公司的博客上实时新闻与世界地图表示将威胁来源一起。还有其他的菜单功能，用于网络活动，一系列的分析程序，黑色和事件的白名单。像其他产品在这次审查中，它提供近乎实时的事件信息。

指示板非常简单，但如果您在大型网络上运行SentinelOne，则很容易被事件淹没。例如，一个简单的、基本干净的端点可以在几天内生成几十个行为。与竞争对手的仪表盘不同，可操作或可直接点击的元素并不多。

当SentinelOne发现一个恶意软件时，它会告诉你它最初是在你的网络上的什么地方被发现的，以及来自几十个安全服务的攻击载体的声誉。如果你想添加feed，你将不得不雇佣该公司将其作为自定义添加，尽管该公司计划在今年下半年将其API公开到该特性。

此外，它连接到ReversingLabs和其他饲料，您可以查看exploit.And像其他产品散列和其他元数据在这次审查中，它提供了攻击的图形“故事线”在这里你可以看到哪些感染过程中它用来寻路到您的端点。威胁信息可以在常见的几种格式，包括CEF，STIX一个下载，并且OpenIOC.Additional报告可以分析菜单页面上JSON或CSV文件下载。

在每个屏幕的右上方部分是一个简单的交通灯图标当工具找到一个活动威胁（红色），改变颜色或减轻了它（黄色）。机会是，如果你正在运行一个活动的网络，可能总是呈现出黄色信号。

它的设置表有一个简单的开/关开关集合，使基于云的机器智能，是否开启它的“学习模式”来建立一系列的基线操作。设置屏幕中还有其他自动操作，比如发送警报、杀死进程、断开PC与网络的连接、手动修复PC以删除文件、回滚到恶意软件(如勒索软件)执行之前的文件版本或隔离某些内容。

它有一个拨动开关网络容纳特征有两种设置：一种是自体免疫，其中代理可以分享新情报，积极性块的威胁，以及第二开关，以阻止除来自服务器的控制面板中的所有连接。当您断开连接或通过含有这些操作电脑，你仍然可以从他们的控制台，它类似于竞争对手的产品进行管理。

SentinelOne安装速度很快，但是有一些安装限制。它的代理需要一个双核CPU和至少2GB的RAM来操作。对于Windows端点，需要重新启动，并且该软件在控制面板中显示为一个正在运行的应用程序。它支持Windows 7到10，包括R2 Windows Server 2008和2012版本。

如果你正在运行的原来的Windows 7操作系统，你需要安装这个补丁。它也支持Mac和CenOS和Red Hat Linux终端。它基于Linux的服务器上均可SaaS和内部部署版本的多个虚拟机包微软Hyper-V，VMware和思杰的Xen一起。这是端点和虚拟机环境的一个很好的全面收集。

另一个问题是，只有两个其管理用户的角色：一个完整​​的系统管理员或帮助台的作用 - 后者不能修改配置设置，执行系统更新或添加或删除用户。该公司将增加在今年稍后自定义角色的能力。也加入到产品后，我们的审核是有计划的更新包括组策略元素。的药剂只能属于一个组，但策略可以应用到多个组。

SentinelOne的桌面剂具有系统托盘图标，最大化的时候，会告诉你什么威胁，它已检测到什么处理它正在监视。这比大多数竞争对手的代理商更详细。

每年45 $每个端点的起始价格，并丢弃取决于量。这个价格包括了所有的功能和产品的各种模块。