Вопросы по облачным ав

[Azrv3l]

Возможно не в тот раздел вопрос поместил. Если так, то прошу прощения.

Я в этой теме мало что понимаю. Прочитал этот топик: https://xss.pro/threads/62510, стало очень интересно.
Есть AV, у него есть сервер с панелькой, в которую админ заходит. Панель в локальной сети, или где-то в облаке?
Понимаю что скорее всего зависит от того, о каком продукте речь. Если я правильно понял, то Sentinel, это hxxps://www.sentinelone.com. У него панель не в локалке.
Сложнее ли избавляться от таких облачных ав? Часто ли в корпах такие стоят?

Очень хотелось бы с таким побаловаться. Облачные только лицуху покупать судя по всему. Есть ли что-то подобное, что можно развернуть в локалке для тестов?

Вопросы наверняка очень глупые, но мне правда интересно в этом разобарться.

 

[KasperWAF]

У сентинела панель в облаке, избавляться однозначно сложнее. Тебе нужно будет найти данные от акка (а в него редко ходят с сетки), в основном в гдиске и аналогах находил.
Но в целом проще уебать его на одной тачке и с нее криптить другие, линкуя сетевые диски.

 

[Bastar]

У сентинела панель в облаке, избавляться однозначно сложнее. Тебе нужно будет найти данные от акка (а в него редко ходят с сетки), в основном в гдиске и аналогах находил.
Но в целом проще уебать его на одной тачке и с нее криптить другие, линкуя сетевые диски.

Хочу уточнить у тебя, если сетевые диски не отображаются, их можно как-то принудительно объявить к рабочей машине чтобы дотянуться? редко, когда в сетевых много нужного, обычно пару папок

 

[KasperWAF]

Хочу уточнить у тебя, если сетевые диски не отображаются, их можно как-то принудительно объявить к рабочей машине чтобы дотянуться? редко, когда в сетевых много нужного, обычно пару папок

Всмысле не отображаются? net use с данными привилегированного пользователя, монтируешь и лочишь.

 

[Bastar]

Всмысле не отображаются? net use с данными привилегированного пользователя, монтируешь и лочишь.

Да, кажется я понял в какую сторону искать.
Просто до этого я просматривал доступные сетевые через подключить сетевой

 

[Azrv3l]

У сентинела панель в облаке, избавляться однозначно сложнее. Тебе нужно будет найти данные от акка (а в него редко ходят с сетки), в основном в гдиске и аналогах находил.
Но в целом проще уебать его на одной тачке и с нее криптить другие, линкуя сетевые диски.

В целом понял куда копать, спасибо.

Очень хотелось бы с таким побаловаться. Облачные только лицуху покупать судя по всему. Есть ли что-то подобное, что можно развернуть в локалке для тестов?

Только вот этот вопрос остался. Можно ли как-то в тестовой среде подобный ав развернуть?

 

[KasperWAF]

В целом понял куда копать, спасибо.


Только вот этот вопрос остался. Можно ли как-то в тестовой среде подобный ав развернуть?

Не знаком с политикой продажи подобных продуктов, вероятно для разворачивания в тестовой среде тебе его не продадут, нужна будет возня с документами. Это ведь облачный сервис.

 

[Azrv3l]

Интересно просто покопаться под капотом у него. Посмотреть как реагирует на разные действия.
Агента бы развернуть на виртуалке, и в иде его препарировать потом.

Есть ли подобное Sentinel, но то что в локалку ставиться?

 

[Whisper]

Интересно просто покопаться под капотом у него. Посмотреть как реагирует на разные действия.
Агента бы развернуть на виртуалке, и в иде его препарировать потом.

Есть ли подобное Sentinel, но то что в локалку ставиться?

Может это зайдет.

https://github.com/ComodoSecurity/openedr

 

[Desconocido]

Интересно просто покопаться под капотом у него. Посмотреть как реагирует на разные действия.
Агента бы развернуть на виртуалке, и в иде его препарировать потом.

Есть ли подобное Sentinel, но то что в локалку ставиться?

могу скинуть установщик агента. Если это как-то поможет.

 

[7075377f3a7f]

могу скинуть установщик агента. Если это как-то поможет.

От одного установщика толка нет. На этапе установки требует site token, где бы его взять