10-11搂一眼 CrowdStrike EDR

EDR: Endpoint Detect & Response. 基于端点的检测与响应,属于企业安全防护体系里的重要一环。CrowdStrike是全球EDR产品中的佼佼者。学习一下CrowdStrike在AWS的宣传白皮书。以加深对EDR在云端的主要卖点和部署方式。

材料链接:https://d1.awsstatic.com/Marketplace/solutions-center/downloads/CrowdStrike-Falcon-Discover-datasheet.pdf

云上挑战

1)资产可见行 : 发现所有账号使用的EC2,并将其纳入管理。

2)上下文:威胁分析时,需要终端信息。

3)一致性:IT架构复杂,EC2应当和传统服务器保持管理上的一致。

4)效率:安全团队事情太多了。

5)容易部署:如何融入DevOps流程中。

CrowdStrike 使用场景

1. 富化告警信息和上下文

提供终端侧的告警数据和VPC间的基于终端的信息。

2. 寻找未纳管EC2

CS 的Falcon Discover平台提供功能,可以支持跨AWS账号导入EC2资产,并提供各种检索条件。

3. 提高安全的视野

CS的Dashboard,提供所需的任何信息。

4. Review EC2的生命周期

其他的,在我看来的核心优势:

1) 和AWS云高度集成,这个很重要

我看到的几家私有化托管的EDR,主要还是Agent+带Dashboard Server的模式。如果在云中使用的话,这种可见行似乎是缺乏的,这个可以和乙方的同学再聊一下。

对甲方团队而言,如果引入这种不带资产管理的EDR设备,后续还有大量的适配工作要做,比如上面提到的对AWS机器的可见性和管理。国内是否有针对同类的EDR产品, 提供类似的云账号集成的功能?

我部署了EDR之后想收获什么?

1)资产管理&可见。和现在的网络资产可见类似。多少IP/多少域名,覆盖率如何。趋势如何。

2)终端信息收集。Agent定时任务、CPU占用率、运行进程、开放端口等基础信息。

3)风险发现。强大的、与时俱进的漏洞库,强的AV能力,强的告警能力。

4)阻断能力。自动解决掉一些高频安全风险,比如挖矿木马自动隔离,端口反弹自动kill进程等。

还有其他需求吗?等继续思考之后再补充,狗命要紧,洗漱睡觉去~

其他的遐想:

1)腾讯云主机安全有网络的告警列表,是基于Agent做的吗?其他的产品似乎大家都没有这个功能。如果大家都有这个功能,部署之后能否开放运营,基于流量在主机上做热补丁拦截?

2)数据可见行,能否开放全部数据到我们?拿到日志数据之后,日志数据的理解成本会不会很高?

发表回复

您的电子邮箱地址不会被公开。