Proč chci nasadit EDR ke všem zákazníkům

Nedávno jsem se díval, že od mého posledního článku uteklo už půl roku. Z četnosti mých článků by se mohlo zdát, že už tolik nepracuji. Opak je však pravdou. Poslední rok bylo práce víc než jindy. Pomáhali jsme zachraňovat zašifrované firmy, vyšetřovat „nedokonané“ útoky a také jsme jezdili po auditech.

Hlavně auditů bylo hodně. Zpočátku jsem to vnímal jako zpestření kancelářské práce a formu výletu. Nakonec se z toho stal non-stop shon a stres, aby se vše stihlo. Auditům se chci věnovat v příštím článku. Rád bych sepsal naše postřehy a doporučení, co si ve své síti zkontrolovat. Tím snad pomohu co největšímu počtu lidí se zájmem a zároveň zbude volný čas i pro mne.😊

Nyní však zpět k dnešnímu tématu. Tím je „Endpoint Detection and Response“, neboli EDR.

Co je EDR

Jedná se o aplikaci, která běží na koncovém zařízení („Endpoint„) a sbírá informace o tom, co se na něm děje. Jaké programy se spouští, jaká dělají síťová spojení, jaké spouští dceřiné procesy, jak komunikují s ostatními procesy, k jakým souborům a registrům přistupují, jaká systémová volání využívají a s jakými parametry byly spuštěny.

V sesbíraných informacích pak hledají známky škodlivého chování („Detection„) a umožňují správci zasáhnout („Response„). Například izolovat zařízení od sítě, ukončit proces, zablokovat aplikaci.

V podstatě je to takový „sourozenec“ antiviru. EDR sbírá a ukládá informace o dění v systému. Detekci škodlivé činnosti pak provádí na základě podezřelého chování v sesbíraných informacích. Programům (jejich kódu), které na zařízení běží, se porozumět nesnaží (pozoruje je z venku).

Antivirus naopak moc informací nesbírá a neukládá. Jeho cílem je kontrolovat data, ke kterým koncové zařízení přistupuje, a kód, který se chystá vykonat (programy kontroluje zevnitř). Výsledkem jeho detekce je odhalení škodlivého kódu (malware – programů co se snaží uškodit).

Samozřejmě obě aplikace (EDR a Antivirus) k sobě mají blízko a v části funkcionality se překrývají. Proto běžně antivirové společnosti vyvíjí jak antivirus tak i EDR. Právě kombinace těchto dvou „funkcionalit“ v jednom produktu dává nejlepší výsledky – díky jejich vzájemné korelaci (vyhodnocování škodlivosti chování na základě většího množství dat vede k lepším výsledkům).

Je EDR další buzz word?

Pokud chodíte na partnerské akce či sponzorované webináře, se zkratkou EDR jste se museli setkali. Je to další technologie, u které všichni cítí, že by mohla být dodatečným zdrojem 💵.

A my, správci, přemýšlíme… Je to technologie, která má smysl? Nebo past? Nic moc nepřinese a její provoz bude stát hromadu času zkušených lidí? Tuto debatu jsme vedli samozřejmě i u nás ve firmě.😁

Nedávno populární technologie jako SIEM či sandboxing mne moc nenadchly. Ne že by byly špatné, jen jsou drahé (pořízení a provoz) a vhodné až pro velké firmy (alespoň vyšší stovky zařízení). Více jsem o tom psal v „Přehnaná očekávání od bezpečnostních technologií„.

Avšak EDR, to je jiná písnička. Je to technologie, která výrazně zvyšuje zabezpečení při malých pořizovacích nákladech a minimálních udržovacích nákladech. V podstatě jakmile už firma má někoho, kdo se kouká do antivirové konzole, tak se provoz nijak nezmění. Velikostně je to vhodné pro všechny firmy od pár počítačů výše.

Proč věřím v EDR

Kdo mě znáte, tak víte, že většinou hackuji bez používání malware (viz můj Youtube kanál). To proto, abych nemusel řešit, jestli moje hackování antivirus detekuje, nebo ne. Místo malware používám nástroje, které jsou standardně součástí operačního systému (tzv. „Living of the Land“ – LotL) a nebo se v systému chovám jako „běžný“ správce. Obdobné chování vidíme i útočníků.

Já i útočníci (a spousta dalších 😊) záměrně hackujeme mimo „dohled“ běžného antiviru.

A právě EDR je způsob, jak odhalit mě a další takové hackery. EDR přidává „viditelnost“ do míst, kde byla ještě nedávno tma.🔦 Antivirus spolu s EDR tak obrovsky zvyšuje pravděpodobnost odhalení útočníka v síti.

Zároveň, když se stane nějaký incident, tak máte výrazně více informací o tom, co a jak se stalo. Díky EDR víte, kdy a odkud se k vám backdoor/malware dostal, s jakými servery komunikoval, jaké příkazy/aplikace na napadeném zařízení spouštěl. To vše z informací, které EDR sbírá. Jinými slovy EDR částečně supluje i „log management“.

Jaké EDR vybrat

To je otázka za 1️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣! Za poslední měsíce jsem měl možnost si sáhnout na několik EDR při vyšetřování reálných incidentů, které jsme v napadených firmách řešili. Zároveň u nás v interní síti používáme už několik roků EDR od ESETu – ESET Inspect.

Každé EDR má své silné i slabé stránky. Níže naleznete mé zkušenosti a myšlenkové pochody ohledně jednotlivých produktů. Berte to tak, že hledám nějaké řešení, které bychom mohli nasadit na všechny naše zákazníky. Je to tedy trochu specifický případ. Zároveň mé zkušenosti s produkty jsou poměrně letmé. S žádným nemám roky zkušeností a větší množství vyšetřovaných incidentů.

Které EDR je však to správné a nejlepší, netuším.🤔 Přitom už několik měsíců se snažím vybrat nějaké řešení, které bychom mohli nasadit u všech našich zákazníků v rámci zvyšování zabezpečení.

Budu moc rád, když se podělíte i vy o své zkušenosti. Pomůže mi to s výběrem našeho firemního EDR.

V každém případě věřím, že ať volba padne na jakýkoliv z nejznámějších EDR systémů, vždy to bude cesta vpřed.

ESET – ESET Inspect

Jsme dlouholetými partnery ESETu a jeho antivirové řešení máme nasazené u všech zákazníků (v rámci naše principu standardizace). Proto by dávalo smysl používat i jejich EDR.

EDR produkt ESETu se nejprve jmenoval ESET Enterprise Inspector (EEI). Jak název napovídá, určený byl hlavně velkým organizacím. V roce 2022 jej přejmenovali na ESET Inspect, nejspíše proto, aby ukázali, že je vhodný i pro „menší“ firmy.

ESET jej nabízí jak v cloudové, tak i on-prem verzi. Pokud se ho rozhodnete nasadit, pak budete potřebovat další poměrně výkonný server (kam se nasadí serverová část ESET Inspect) a na všechny klienty doinstalovat další aplikaci (ESET Inspect Agent). Osobně bych se spíše klonil k tomu využívat cloudovou verzi (kdy je ESET Protect i ESET Inspect hostován ESETem).

Na ESET Antivirus nedáme dopustit. Za ty roky jsme s ním velice spokojení – pokrytí detekcí, minimum false positive, stabilita, výkonové nároky. ESET Inspect mne však moc nenadchnul. Přehlednost rozhraní je oproti Bitdefenderu nebo Microsoft Defenderu o generaci pozadu.

Další věcí je způsob vyhodnocování událostí. ESET Inspect stojí na pravidlech, která se vyhodnocují samostatně (vzájemně se nekorelují, až na výjimky). V konzoli tak budete mít za den tisíce „událostí“. Ladění pravidel si tak vyžádá dny práce. Nakonec vám stejně zůstane produkt, který bude každý den vyžadovat dost času a manuální práce.

Bitdefender a Microsoft události shlukují do incidentů a podle toho i vyhodnocují (jako celek). Nestane se tak, že jedno samostatné pravidlo, které samo o sobě nic neznamená způsobí „událost“. Denně tak dostanete jeden až dva incidenty (události). U nich máte rovnou zobrazeno (bez dalšího dohledávání) mnohem více informací. Jednodušeji se tak dokážete rozhodnout, zdali se jedná o problém, který vyžaduje vaši pozornost, nebo byl automaticky vyřešen (či se jednalo o false positive).

Na druhou stranu je pravda, že pro profesionální SoC tým plný dedikovaných specialistů může být ESET Inspect lepší volbou. Dávám jim možnost si psát vlastní pravidla, výjimky a libovolně přistupovat ke všem nasbíraným událostem (threat hunting).

Poslední, co bych chtěl zmínit, je, že mi u ESETu chybí nějaká vize (subjektivní názor). Poslední roky nepřišli s žádnou pořádnou novinkou. Nové major verze antivirů vypadají spíše jako service packy (nepřibývá funkcionalita). Řada partnerů a zákazníků od nich odchází ke konkurenci (z ESETu se prý ani nezajímají proč končí😔). Mám pocit, jako kdyby ESET usnul na vavřínech svých předchozích úspěchů, a je mi to vážně líto.

Pros
  • Současný AV produkt, se kterým jsme spokojeni, nezpůsobuje komplikace, umíme s ním a máme ho odladěný.
  • Existující partnerství a kontakty.
  • Z politického hlediska bezpečná firma (SK kořeny).
  • Možnost psát si vlastní pravidla a přesné výjimky.
  • Množství informací, které je možné si v případě incidentu v EDR dohledat.
  • Multitenantnost.
Cons
  • Oproti konkurenci se jedná o časově nejnáročnější EDR na vyhodnocování.
  • Chybí mi vize a schopnost posouvat věci vpřed. Pokud nezačnou dohánět konkurenci, může se z toho stát za pár let past (produkt bude třeba nakonec vyměnit, nový produkt se budeme teprve učit, zatímco naše konkurence už bude výrazně dál).
  • Řešení se skládá ze tří samostatných aplikací, které se musí na koncové zařízení instalovat a udržovat (ESET AV, ESET Inspect a ESET Management Agent).

Bitdefender – GravityZone Business Security Enterprise

Když bychom zakládali firmu teď a neměli jsme vybraný (nasazený) ještě žádný produkt, asi bych se rozhodl pro Bitdefender. Líbí se mi, jak se Bitdefender posouvá vpřed a jednoduchost jeho ovládání. Jakoby vývojáři věděli, jak my, správci, pracujeme, a snažili se nám práci ulehčovat.

Produkt se skládá pouze z jedné aplikace, která se instaluje na zařízení. Podle druhu licence a konfigurace se nainstalují potřebné bezpečnostní moduly. O aktualizace produktu se pak stará cloudová konzole sama. Konzole vypadá přehledně, moderně a hezky se s ní pracuje.

Moc se mi líbí modul „Risk management„, který ukazuje miskonfigurace, zranitelnosti a rizikové chování uživatelů. Bezpečnost totiž není jen o tom chytat hackery a detekovat malware, ale dělat síť odolnou, aby se do ní vůbec nedostali. Tohle je podle mne cesta, jakou by se AV měli ubírat (myslím, že samotný AV, co chytá jen malware, je přežitý koncept).

Co se týče detekcí, působí na mne Bitdefender dost agresivně. Oproti třeba ESETu u něj pozorujeme hodně false positive detekcí. Zejména u software/skriptů, které ještě neviděl. Problém tak mohou mít zejména vývojové firmy.

Když už na nějaký false positive dojde, možnost vytvářet výjimky není tak mocná jako třeba u ESETu. Podpora Bitdefenderu je však nápomocná a dokáže věci nechat překvalifikovat v rámci globálních definic (jen to zabere trochu více úsilí a času).

Právě pro menší MSP firmy (firmy, které se starají o jiné firmy) může být ta agresivita výhodou. Sice se občas stane, že to zařízne legitimní aplikaci a bude třeba to řešit. Avšak je mnohem větší šance, že to samo zastaví skutečný útok hackerů (nemám proto žádnou statistiku, spíše jen dojmy a zkušenosti z vyšetřování incidentů).

Tím, jak se snaží být Bitdefender jednoduchý, tak v případě incidentu vám sám ukáže informace, o kterých si myslí, že jsou relevantní. Blbé je, že k těm, které nepokládá za relevantní, se nedostanete 🙁(incident se tak hůře vyšetřuje).

Bitdefender již aktuálně pracuje na XDR. Mají konektor do Azure Active Directory a možnost síťových sond. Zároveň korelují data z jednotlivých endpointů mezi sebou a dokáží ukázat incidenty skrze více zařízení (umí i Microsoft Defender).

Pros
  • Přehledné rozhraní EDR.
  • Obrovský drive a další funkcionalita (patch management [extra addon], risk management, XDR).
  • All-in-one aplikace s auto-update funkcionalitou.
  • Multitenantnost.
Cons
  • Poměrně agresivní detekce, kdy ne vždy je možné vytvořit si výjimku vlastní silou.
  • V případě incidentu neposkytuje tolik informací.
  • Pro nás nový produkt, který bychom se museli učit. A „neznámá“ je, kolik práce by bylo s laděním, v případě nasazení na všechny zákazníky.

Microsoft Defender for Endpoint P2

Pokud bych byl interním správcem a naše firma měla licenci M365 Business Premium, tak tohle by byla nejspíše moje volba. V rámci výše zmíněné licence je totiž Microsoft Defender s EDR funkcionalitou v ceně (jen se asi bude třeba dokoupit licence pro serverové OS).

Opět se mi moc líbí rozhraní tohoto produktu. Množství informací, které se z něj dají vytáhnout při řešení incidentu. Možnost dělat threat hunting.

Tím, že se jedná o Microsoft produkt, tak je zde zároveň velká provázanost s MS Azure, MS Office 365 a on-prem prostředím (tipoval bych, že asi největší, jaká může být).

Tím, že Microsoft Defender (AV v aktuální podobě) je standardně součástí MS Windows 2016+ a Windows 10 (pokud se pletu, prosím o opravu), tak neočekávám, že by jeho používání mělo způsobovat nějaké komplikace (false positive, rozbíjet aplikace).

Pro nás, jako MSP (spravujeme více firem), však chybí multitenantnost (vidět, co se děje u všech zákazníků skrze jednu konzoli bez nutnosti se do jejich prostředí přepínat) a zároveň odrazuje vyšší cena, pokud bychom na něj chtěli převést všechny zákazníky (aktuálně Defender for endpoint plan 2 stojí 5,2$ uživatel/měsíc). Na druhou stranu vidíme u zákazníků stále větší adopci O365, kdy jsou ochotni si za funkce připlácet.

Pros
  • Přehledné rozhraní.
  • Množství informací, které je v případě incidentu k dispozici.
  • Propojenost s dalšími MS službami (Azure, Office 365, on-prem).
  • V O365 předplatných vidím budoucnost.
Cons
  • Poměrně drahý, pokud není součástí zvýhodněného předplatného.
  • Nemá multitenatnost.
  • Pro nás nový produkt, který bychom se museli učit.

FortiEDR

Toto EDR jsem zvažovali proto, že FortiNet je také jedním z našich partnerů, od kterého už používáme řadu produktů. Centrálně máme FortiEMS a FortiAnalyzer. V jednotlivých sítích pak nasazujeme FortiGate, FortiSwitche a FortiAP. Logicky by tedy dávalo smysl používat jejich produkt.

FortiNet má také obrovskou vizi a drive. Co plánuje, dává smysl. Jen ze zkušeností s některými produkty (zejména FortiClient a FortiEMS) mám pocit, že ne vždy jsou ty věci úplně „production ready“. Nicméně je vidět, že vše se posouvá vpřed a zlepšuje.

Další nevýhodou může být (pokud je to stále platné), že u FortiEDR je minimální odběr licencí 500. Takže není možné pokrýt menší firmy (pokud se to nevezme v nějakém MSSP programu).

SentinelOne

S tímhle produktem zatím zkušenosti nemám, nicméně všude na internetu čtu, že by to měla být špička.😊 Na tento seznam potenciální kandidátů jsem jej zařadil proto, že máme možnost licence pořídit v rámci našeho monitorovacího systému N-able RMM (dříve Solarwinds).

Pokud s ním někdo máte nějaké praktické zkušenosti, určitě bych moc stál o jejich nasdílení.

Do budoucna XDR

I když EDR výrazně rozšiřuje prostor, kde jsem schopni útočníky odhalit, stále nám zůstávají šedá místa. Například minulý měsíc jsme řešili jednoho zákazníka, kterému hacknuli NAS a udělali si z něj „proxy“. Skrz ni pak napadali další zařízení v síti.

Do EDR systému by se nám tedy hodila možnost dodat informace z dalších síťových zařízení, jako jsou switche, routery, Wifi AP, kamery, tiskárny, VoIP telefony, NASy, mobilní telefony. A jelikož řada firem má i cloudové služby, tak i logy z těchto služeb (určitě alespoň Azure Active Directory).

Čímž se dostáváme k pojmu XDR (eXtended Detection adn Reponse). Tato technologie bude nejspíše pokračovatelem/nástupcem EDR a opět nám umožní mít lepší přehled o našem prostředí.

U některých výrobců se již s XDR technologií můžeme setkat. Zatím jde podle mne více o vizi a směr (nějaká funkcionalita tam je, ale větší část cesty je stále před nimi). Na budoucnost jsem určitě zvědavý. 🤗

Závěr

EDR pro spoustu firem znamená možnost jak levně, jednoduše a rychle pozvednout míru zabezpečení. Většinou bude stačit jen zakoupit vyšší edici svého AV produktu (tak aby obsahoval EDR) a přeinstalovat agenta na koncových zařízeních. Správa, dohled a údržba AV pak zůstává stejná.

Co si myslíte vy? A jaké jsou vaše zkušenosti s EDR řešeními?

Diskuze k článku

Lukáš Gründel

05. 09. 2022 v 15:05

Ono je to fajn, ale podle mě základní trabl je, že to musíte mít prostor sledovat. To vyhodnocování zabere spoustu času. L.

Odpovědět

Odpovědět

Martin Haller

05. 09. 2022 v 15:45

Podle mne záleží nejvíc na produktu. U takového Bitdefenderu či Microsoft Defenderu 365 (což jsem měl možnost zkusit) to není výrazně pracnější než vyhodnocovat běžný antivirus.

Odpovědět

Odpovědět

Lukáš Gründel

06. 09. 2022 v 10:36

Tak tím líp, Bitdefender jsem zatím neviděl, ale určo na něj zaměřím pozornost :). Jinak do výčtu bych ještě přidal Crowdstrike. To by měla být společně s MS Defender a SentinelOne absolutní špička.

Odpovědět

Odpovědět

Martin Haller

06. 09. 2022 v 10:55

Jj, to je pravda.

Odpovědět

Odpovědět

Pavel Otych

06. 09. 2022 v 11:45

Dobrý den, díky za perfektní shrnutí!

Multi-tenantnost u Defenderu jde řešit přes Sentinel + Azure Lighthouse, ale do dokonalosti to má relativně daleko… 🙁 Microsofťácký EDR je skutečně dobrý a skoro bych se nebál říct až překvapivě „vychytaný“, včetně reportingu zranitelností, hromady všemožných událostí, apod. Automatická investigace / řešení, i to shlukování alertů funguje celkem obstojně. Navíc jak zmiňujete i ten přesah od cloudu po onprem a průzkum vnitřní sítě přes scanner je použitelný + mobilní iOS/Android.

Akorát trochu jinak než Vy vnímám tu cenu, spoustě co vídím i těch cca 5 EUR na uživatele/server přijde relativně zbytečné za „lepší antivirus“. Má na to asi i vliv nedávné zdražení MSFT licencí, ono se to zvlášť u těch skutečně malých firem s omezenými prostředky celkem rychle nasčítá.

Odpovědět

Odpovědět

Martin Haller

08. 09. 2022 v 09:01

Díky za zkušenosti. Ten Lighthouse je něco, na co se určitě musíme podívat.

Co se týče ceny, tak máte pravdu – záleží na kontextu (velikosti zákazníků, důležitosti bezpečnosti). Přemýšlím nad tím tak, že občas už někteří zákazníci mají licenci Business Premium kvůli byznys požadavkům. V té licenci už je obsažené M. Defender s EDR a využít ho, by mohla být nakonec úspora – mohou přestat platit jiné řešení. Zároveň s adopcí cloudu a předplatných mi přijde, že do budoucna bude pro firmy stále častější že budou na každého zaměstnance počítat s částkou X, ve které budou licence na programy, které ke své práci potřebují (stejně jako si zvykli platit telefonní paušál).

Odpovědět

Odpovědět

Tomas Kabrt

06. 09. 2022 v 18:10

Zdravím Martine,
hezký článek, měl bych dotaz ohledně Bitdefenderu a vašich hlubších zkušeností. Produkt používáme ve firmě, ale zatím bez EDR (chtěli jsme nasadit ale se součastnými problémy s produktem bez EDR modulu to nedává moc smysl) a souhlasím, že produkt má relativně hodně FPs a detaily ohledně detekcí nejsou úplně přívětivé pro analysty. Ale v poslední době máme největší problém s Bitdefenderem pro MAC, kdy laptopy začaly různě z nevysvětlitelých důvodů mít obrovskou CPU a RAM memory utilizaci. Nastavení aby Bitdefender byl použitelný pro developery byl také několika měsíční oříšek, který stejně nefunguje na 100% Jednání se supportem také není úplně procházka růžovou zahradou a dostat k nějákému výsledu vyžaduje hodně práce.
Máte zkušenosti s MAC agenty? Pokud ano, rád bych věděl vaše zkušnosti – speciálně po uvedení verze 7.6+. Jestli jsme „speciální“ zakazník, že máme haldu problémů 🙂

Odpovědět

Odpovědět

Martin Haller

08. 09. 2022 v 09:05

Děkuji za zkušenost (kterou se zdá máme velmi podobnou 😊). Bitdefender jsme na Mac OS nezkoušeli. Maců máme pod správou „jen“ několik desítek a používáme na nich ESET AV. Nejvíc práce bývá, když se mění funkce/princip zabezpečení v nových verzích Mac OS. Jinak bych řekl, že je provoz ESETu na Mac OS hladký. ESET Inspect jsme však na Mac OS ani Linuxu zatím nezkoušeli.

Odpovědět

Odpovědět

Radek

07. 09. 2022 v 21:16

Máme v praci tdr od watchguardu. Není to úplně jak jiné Edr, ale funkčnost je podobna. Občas to kolegům na chvíli zablokuje net při instalaci nových neběžných aplikaci (chrome, totalcmd a další podobné aplikace to samozřejmě zná), mě dojde hláška a buď to ručně odblokuju a nebo hodně často se to po chvíli samo odblokuje, jakmile zjistí, že je to ok. Těch kritérií blokace tam je samozřejmě víc, bere to v potaz i virustotal.com skrz známé soubory. Ale hlavne pro mě – není to náročný na spravu. Zkoušel jsem to pár způsoby i odpálit a hned u prvního pokusu mi to bloklo net, takže to asi nějak funguje.

jinak Shodou okolností jsem minulý rok uvažoval, že vyměním ESET a vybíral jsem shodne, asi dobrý tréning od tebe 🙂

Sentinel je hodně drahý produkt, ale ze všech se zdá být na špici, u toho jsem uvažoval hodit na servery. Bitdefender má za stejne peníze víc muziky oproti esetu, ale chyběla by mi tam jednoduchost hipsu, tam to vychází cenově hodně zajímavé. Defender p2 je o fous dražší, jak ESET, ale opět oproti esetu ma Edr, vzhledem k tomu, že máme ms365 je to i logicke dokoupit. ESET inspect bych nezvládal a je lepší tam zvolit něco automatického, jako je právě tdr,

Odpovědět

Odpovědět

Radek

07. 09. 2022 v 21:34

Jinak menší ot. Minuly týden kolegům volal anglicky mluvící člověk, že mají zájem o naše služby a že poslali mail, ať na něj reagujeme a otevřeme odkaz. Že volá za šéfa a že je vše obsazeno v odkazu. Hackli se k našemu zákazníkovi – poslal to 4 lidem, kteří s tou firmou spolupracovali a mluvil poměrně přesvědčivě a hlavně těm kolegům volal ze srbského čísla na mobily (to kolegové nevěděli, neznají každou předvolbu) a představil se jako zaměstnanec Srbské pobočky, přičemž jsme spolupracovali s chorvatskou pobočkou. Respektive asi zas tak presvedcivej nebyl, protože ke mě všichni kolegové postupne dosli.

Odpovědět

Odpovědět

Martin Haller

08. 09. 2022 v 09:12

Ahoj Radku, díky za podělení se o zkušenost s Watchguardem. My jsme od Watchguardu kdysi viděli/spravovali jen jejich červené firewally :).

Ty jo, útočníci vyvíjí stále více a více úsilí při své práci. Dobrá práce, že jsi naučil kolegy se na Tebe obracet, když si nejsou jisti 👍!

Odpovědět

Odpovědět

Petr

09. 09. 2022 v 23:12

Vybrali jsme jako EDR Defender, protoze jej interne pouzivaji u jedne jine obri antivirove firmy a taky proto, ze s nim (subjektivne, nemame statistiky) maji zkusenosti nasi partnersti Incident responderi. Tedy pri prusvihu u nas nam pontencialne mohou pomoct s investigaci, diky znamemu prostredi.
Mame ho nasazen uz pres rok na desitkach serveru a zatim skvela zkusenost – mam na starosti primarne ja a nezabira mi prakticky vubec zadny cas, nevim o nem. Investice do uceni se taky skoro nula. Fajn jsou jeho prehledy zranitelnosti v instalovanem software (attack surface) na kazdem endpointu. Planujeme zavadet i na uzivatelske stanice (u exponovanejsich roli). Ne(vy)resili jsme multitenantnost. A jako hlavni AV pouzivame dlouhodobe Eset.
Diky za clanek!

Odpovědět

Odpovědět

Petr

09. 09. 2022 v 23:17

Dale planujeme zavest produkt defenderu pro onprem Active Directory (ted si nevzpomenu na produktove oznaceni – ale je to neco jineho nez Defender for Endpoint), coz dale rozsiri prostor sber a korelaci signalu. Od pohledu to bude ale o neco slozitejsi nasazeni – snad ne provoz

Odpovědět

Odpovědět

Martin Haller

10. 09. 2022 v 09:33

Petře, moc díky za popsanou zkušenost.

V síti tedy na všech zařízeních používáte dva produkty (ESET + Defender)? Nebyl s tím problém (že by to zpomalovalo, způsobovalo BSOD, navzájem by si kradli viditelnost)? Jakou licencí jste ten Defender pokryli?

Odpovědět

Odpovědět

Petr

10. 09. 2022 v 22:20

Nedela to problemy ani BSOD. Do active mode (muze i zasahovat) jsme prepnuli pred mesicem. Ani to active mode by dle dokumentace delat problemy nemelo (a protoze jsme i driv meli alerty vzacne, tak necekame problem ani ted). Licenci mame Microsoft Defender For Endpoint

Odpovědět

Odpovědět

Martin Haller

12. 09. 2022 v 09:35

Super, moc díky za odpověď. Nějaká forma „hybridního“ nasazení by pro nás mohla být také cesta 😊. Držím palce, ať to šlape 👍.

Odpovědět

Odpovědět

Petr

29. 11. 2022 v 21:51

Microsoft prejmenoval Defender for Endpoints a udelal z toho trochu jine unifikovanejsi reseni, v Azure. Teprve studuju zmeny a dopady. Pro Vas by to jejich napojeni na Azure Log analytics/Arc Martine mohlo znamenat novou nadeji v podpore multi-tenantnosti.

Odpovědět

Odpovědět

Petr

29. 11. 2022 v 21:51

Odpovědět

Martin Haller

30. 11. 2022 v 08:55

Před dvěma týdny jsem akorát testoval SentinelOne, ESET a MS Defender na různé scénáře s https://github.com/redcanaryco/atomic-red-team a MS Defender podával skvělé výsledky 😊. Za měsíc budeme i jednoho zákazníka s MS Defender onboardovat – tak začneme sbírat praktické zkušenosti a dělat si integrace k nám do monitorovacího systému – udivíme :).

Odpovědět

Odpovědět

Pavel Pekarek

13. 09. 2022 v 07:15

Zdravim, letos jsme vybirali EDR a podrobne jsme testovali 3 spickove produkty – PaloAlto Cortex XDR (ani XDR, vim :-), Crowdstrike Falcon a SentinelOne. Nakonec jsme vybrali SentinelOne, aktualne finalizujeme implementaci (2000 endpointu – Win, Linux, MacOS). V pripade zajmu se rad podelim o zkusenosti .

Odpovědět

Odpovědět

Pavel Štros

13. 10. 2022 v 08:51

Jeden náš precizní zákazník ve finále také vybíral mezi Crowdstrike a SentinelOne. Nakonec zatím zvolil jako hlavní platformu SentinelOne s tím, že do jedné menší sítě pořídil Crowdstrike, aby mohl i v následujících měsících srovnávat. Za půl roku dám vědět 😉

Odpovědět

Odpovědět

Martin Haller

13. 10. 2022 v 10:57

Bezva, budu rád, když se pak podělíte.

Odpovědět

Odpovědět

Sportovni-vyziva24

28. 10. 2022 v 00:04

Jsem ohromen tím, jak bylo téma v článku prezentováno. Když jsem na web vstupoval, doufal jsem, že se dozvím více a nebyl jsem zklamán. Při čtení podobných záznamů na webu se můžete ztratit…

Odpovědět

Odpovědět

Zdenek

31. 10. 2022 v 12:30

Pěkný článek. Tento typ sdělování informací mám nejraději. Není to blábol o 4 odstavcích, který obvykle dané téma jen lízne…
Z obchodního hlediska bych si dovolil rozporovat, že je EDR pro každého. U Esetu to nabízeli od 250 licencí. S přejmenováním klesl minimální počet na 100, jestli se nepletu. Možná jsem někde dostal i výjimku na 50, ale cena nebyla úplně zajímavá.
V nějaké optimální variantě to vycházelo 1:1 k ceně licence antiviru.

Odpovědět

Odpovědět

Martin Haller

01. 11. 2022 v 09:16

Díky za kompliment 😊. Co se týče EDR „pro každého zákazníka“, tak máte pravdu, že řada výrobců vyžaduje nějaký minimální odběr licencí (velikost zákazníka). Myslím, že třeba Bitdefender a MS Defender takové omezení nemají. U některých se pak to omezení neuplatňuje, pokud se ten produkt nasazuje v rámci MSSP programu.
– Do budoucna očekávám, že s EDR se stane nový antivirus (resp. antiviry se pomalu vyvinou a přidají EDR funkcionalitu).
– Přínos EDR je větší čím větší je firma (případně hodnota jejich dat / cena výpadku systémů).
– Ještě pro upřesnění kontextu (proč píšu, že to chci nasadit ke všem zákazníkům). Naši zákazníci jsou firmy od desítek počítačů výše. Častěji se pak jedná o stovky počítačů.

Odpovědět

Odpovědět

Josef

23. 11. 2022 v 22:33

My používáme Sentinel One už třetím rokem… nemůžu si na něj nějak zásadně stěžovat – je jen náročnější na zdroje (obsazení RAM) a s jednou aplikací nám dělá binec (způsobí její pomalení při zpouštění – v řádu minut) – to musím dořešit s hotline, prý už na to mají řešení.
Sentinel zkouším na různých vzorcích malware, co nám dorazí e-mailem a zatím úspěšně…
Klidně se mi Martine ozvěte na e-mail můžeme se domluvit na dalším…

Odpovědět

Odpovědět

Martin Haller

24. 11. 2022 v 08:54

Děkuji za sdílenou zkušenost a nabídku pomoci 👍. Obdobného problému se spouštěním jsem si u jedné aplikace také všimnul (tuším, že to byla Pohoda), nakonec se to podařilo vyřešit výjimkou.

Odpovědět

Odpovědět

Jakub

23. 11. 2023 v 16:12

Dobrý den,

mohu se zeptat jaké řešení jste nakonec vybral?

Děkuji

Odpovědět

Odpovědět

Martin Haller

24. 11. 2023 v 13:55

Nakonec jsme se rozhodli to zkusit s Microsoft Defender for Endpoints.

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA