Apex One SaaS 中使用的 Sensor 是基於使用者如何部署 Sensor:
- 當透過 Apex Central Policy 啟用 Endpoint Sensor 時,Apex One Security Agent 會使用 Apex One Endpoint Sensor (SaaS)。
- 當透過 Vision One Endpoint Inventory 啟用 Sensor 時,Apex One Security Agent 會使用 XDR Endpoint Sensor。
| 功能 | Apex One Endpoint Sensor (SaaS) | XDR Endpoint Sensor Windows | XDR Endpoint Sensor Linux | XDR Endpoint Sensor macOS | |
|---|---|---|---|---|---|
| 資源使用 | 傳送數據的頻率 | 平均每 5 分鐘 | 平均每 5 分鐘 | 每 5 分鐘 | 每 5 分鐘 |
| 平均生成數據量 | 20 MB/用戶端/天 | 7 MB/用戶端/天 | 8.7 MB/用戶端/天 | 6 MB/(用戶端*天) | |
| 平均網路頻寬使用量 | 20 MB/用戶端/天 | 7 MB/用戶端/天 | 8.7 MB/用戶端/天 | 6 MB/(用戶端*天) | |
| 當 Sensor 無法傳送數據到伺服器時,當地遙測快取大小 | 500 MB | 記憶體中 (50MB) | 200MB | 記憶體中 (200MB) | |
| 授權到期後的用戶端行為 | 不記錄和發送 任何遙測數據 | 目前,當授權到期後,Sensor 仍會傳送遙測數據到伺服器,但停止更新所需的憑證,因此伺服器將不再接收遙測數據。 | |||
| 調查 | 基於標準進行調查 | ✔️ | ✔️ | ✔️ | ✔️ |
| 進行即時調查以檢查當前狀態 | ✔️*1 | ✔️*2 | ✔️*2 | ✔️*2 | |
| 偵測 | 威脅偵測與攻擊發現 | ✔️*3 | ✔️*4 | ✔️*4 | ✔️*4 |
| 緩解/回應 | 新增至用戶定義的可疑對象 | ✔️ | 關於緩解/回應功能,請參閱以下連結以了解更多詳情。
| ||
| 終止程序 | ✔️ | ||||
| 用戶端網路隔離 | ✔️*5 | ||||
| 收集文件 | ✔️ | ||||
| 遠程 Shell | ❌ | ||||
| 與 EPP 產品協調 | ✔️*6 | ✔️*7 | ✔️*7 | ✔️*7 | |
*1 Apex One Endpoint Sensor (SaaS) 支援透過 diskIOC 掃描、YARA 掃描及註冊表掃描進行即時調查。
*2 XDR Endpoint Sensor 支援透過遠程 Shell 功能檢查當前狀態。
*3 Apex One Endpoint Sensor (SaaS) 有其自身的攻擊發現偵測引擎。在 Apex One 註冊到 Vision One 後,Vision One 後端伺服器提供基於記錄活動數據的偵測能力。
*4 XDR Endpoint Sensor 沒有偵測引擎。然而,Vision One 後端服務提供基於記錄活動數據的偵測能力。
*5 此功能僅限於 Windows,且依賴於 Apex One EPP。
*6 Apex One Endpoint Sensor (SaaS) 是 Apex One 的一個整合模組。如果使用者想要安裝 Apex One Security Agent 與其他 EPP 產品共存,他們需要安裝 Apex One Coexist Agent,而不是 Full Agent。
*7 XDR Endpoint Sensor 是一個獨立的 Sensor,且可與 Trend Micro EPP 產品及第三方 EPP 產品共存。
在 Windows 10 21H2 更新後,Microsoft 將預設啟用區分大小寫的功能,而 Apex One Endpoint Sensor (SaaS) 無法支援區分大小寫的功能,因為這是設計規範的問題。這意味著使用者應將 Apex One Endpoint Sensor (SaaS) 遷移到 XDR Endpoint Sensor,或者應停用區分大小寫功能以確保 Apex One Endpoint Sensor (SaaS) 能正常運作。