عند شراء منتج مثل EDR يجب الانتباه ان المنتجات تتفاوت في ميزاتها بين ثلاث جوانب
Detection capabilities
Response capabilities
Prevention capabilities
بعضها يكون ضعيف في جانب لسبب من الاسباب والبعض الاخر يكون مصمما من الاساس ليركز على جانب معين
Detection capabilities
Response capabilities
Prevention capabilities
بعضها يكون ضعيف في جانب لسبب من الاسباب والبعض الاخر يكون مصمما من الاساس ليركز على جانب معين
اختيار المنتج يعتمد حسب الاحتياج والنقص في ecosystem بالكامل وايضا قدرات الفريق الموجوده
اذا كان من يوجد من الفريق يمكنه استغلال قدرات Response فيتم وضع هذا الجانب بعين الاعتبار عدا ذلك يستحسن التركيز على الجوانب الاخرى
اذا كان من يوجد من الفريق يمكنه استغلال قدرات Response فيتم وضع هذا الجانب بعين الاعتبار عدا ذلك يستحسن التركيز على الجوانب الاخرى
ايضا يجب اتخاذ القرار فيما اذا كانت الحاجه تلح ان يكون قوي في prevention او فقط detection
اذا كان هناك منتج اخر ليغطي الحمايه فلا يتم التركيز على قدرته على صد الهجمات in real time
ولو ان منتجات AV ما زال معظمها ضعيف في اكتشاف الهجمات كTTP وليس signature
اذا كان هناك منتج اخر ليغطي الحمايه فلا يتم التركيز على قدرته على صد الهجمات in real time
ولو ان منتجات AV ما زال معظمها ضعيف في اكتشاف الهجمات كTTP وليس signature
في detection بعض المنتجات قدراتها جيده لكنها تحتاج تطوير ومتابعه مستمره من ناحيه تطوير use cases وبعضها ياتي بدعم من الشركه المنتجه ك feed او intelligence تخفف ساعات العمل عليه للوصول الى معادله مناسبه بين false positive و true positive
القاعده الاساسيه هي انه لا يوجد منتج سوف يكون مناسب في detection بمجرد تنزيله، كل الشركات توفر تغطيه لMitre لكن يجب تعديل كل TTP ليتناسب مع البيئه لتخفيف false positives، اي انهم فقط اختصروا وقت جمع queries لا غير
موضوع ان EDR هل يغني عن AV موضوع ليس من السهل مناقشته بشكل عام بدون ذكر كلا المنتجين للمقارنه بينهم
بعض المنتجات لا تاتي من الاساس بقدرات حمايه
وجود خيار لتعطيل الprevention امر جيد في حاله كان المنتج ضعيف في prevention وكان هناك حاجه لتغطيه العجز بمنتج اخر مثل AV
بعض المنتجات لا تاتي من الاساس بقدرات حمايه
وجود خيار لتعطيل الprevention امر جيد في حاله كان المنتج ضعيف في prevention وكان هناك حاجه لتغطيه العجز بمنتج اخر مثل AV
نضج الشركه يهم في الاختيار، اذا مستوى النضج منخفض، يستحسن ان يتم التركيز على قدرات prevention
اما قدرات المنتج في response تكون اضافيه وليست اساسيه خاصه قدرات المنتج على sweeping و automation لمهام response و threat hunting
اما قدرات المنتج في response تكون اضافيه وليست اساسيه خاصه قدرات المنتج على sweeping و automation لمهام response و threat hunting
التحليل في console جانب مهم، بعض المنتجات سيء في البحث واستخراج المعلومه وخاصه عمل correlation بين اكثر من معلومه، وجود query lanague جانب مهم، وجود واجه رسوميه فقط للتعامل مع البيانات عيب وليس ميزه
ايضا قدرات المنتج على التعامل او سحب eventlog مهم للاستفاده من windows logging الي ما يجيبها EDR
اخيرا الاستقرار للنظام او agent عامل اساسي بدونه لا فائده لكل الميزات
اضافه: كيف تعرف قدرات المنتج وقوته؟
للاسف لا يوجد طريقه سهله الا من خلال السؤال والسمعه
اسال من سبقك واستخدم المنتج في شركته
كل ما تقوله الشركه المنتجه يبقى بيع كلام
للاسف لا يوجد طريقه سهله الا من خلال السؤال والسمعه
اسال من سبقك واستخدم المنتج في شركته
كل ما تقوله الشركه المنتجه يبقى بيع كلام
محاوله اجراء تقييم يغطي كامل الجوانب غير منطقي بياخذ القرار سنين لمعرفه المنتج القوي والمناسب.
تجربه المنتج على السريع كdemo او لاب صغير ممكن يساعد لكن مش دائما دقيق
تجربه المنتج على السريع كdemo او لاب صغير ممكن يساعد لكن مش دائما دقيق
جاري تحميل الاقتراحات...