Bitdefender Buw Сильний виконавець у постачальниках виявлення та реагування кінцевих точок хвилі Forrester, 2 квартал 2022 року

CrowdStrike домінує в EDR, будуючи своє майбутнє в XDR і Zero Trust. CrowdStrike продовжує демонструвати досконалість у своїй пропозиції EDR за допомогою багатого контекстом інтерфейсу користувача, просякнутого високоякісною, поглибленою розвідкою про загрози. Його стратегія залишається вірною своїй ДНК як інструменту безпеки першої кінцевої точки, методично розширюючись на XDR і охоплюючи Нульову довіру. Його дорожня карта дотримується цієї тенденції, продовжуючи надавати пріоритет вдосконаленню функцій в EDR, засобах запобігання та розширенні додаткових можливостей XDR щодо ідентичності, даних та стороннього прийому всередину. Довідкові клієнти неймовірно високо відгукувалися про підтримку, яку вони отримали за допомогою програми технічного управління обліковими записами. Пропозиція має характерно сильне покриття для Windows і покриття для найпопулярніших версій Mac і дистрибутивів Linux. Він надає детальну інформацію про загрози в рамках розслідування, а також більш глибокі звіти, що стосуються групи загроз. Вся телеметрія нанесена на карту MITRE ATT&CK. Пропозиція має вбудовану функцію пісочниці, можливості віддаленої оболонки, спеціальні сценарії та вбудовану функцію автоматизації для створення ігрових книг. Мисливці за загрозами можуть здійснювати пошук за типами або за допомогою необроблених даних, а результати пошуку також контекстуалізуються за допомогою розвідки загроз. Мисливці можуть створювати правила виявлення в режимі реального часу та заплановані запити на основі полювання. Однак пропозиція передбачає сім днів зберігання даних за замовчуванням, менше, ніж багато хто в цій оцінці, і оскільки такі посилання клієнтів пропонують експортувати телеметрію в інше джерело для більш тривалих потреб у збереженні. CrowdStrike найкраще підходить для тих, хто хоче потужний інструмент EDR з безліччю високоякісних розвідок загроз, легко інтегрованих у пропозицію. Це також добре підходить для команд безпеки, які хочуть передати деякі можливості на аутсорсинг через керовані сервіси.

Microsoft зробила себе потужним центром в інноваціях безпеки та EDR. У 2021 році Microsoft виділила 20 мільярдів доларів протягом п'яти років на постачання більш передових інструментів безпеки, збільшивши анте з 1 мільярда доларів на рік витрат на кібербезпеку з 2015 року. Крім знаків долара, Microsoft має бачення захисту всіх кінцевих точок за допомогою поєднання запобігання, виявлення та авторемедіації. Довідкові клієнти виділили цю інвестицію як ключову причину, чому вони вирішили працювати з постачальником, незважаючи на раннє сприйняття галузі в ІТ. Він також змінив свою структуру цін, щоб додати гнучкості, пропонуючи окремі ціни на кінцеву точку або ціни на основі ліцензій. Його дорожня карта включає постійний прогрес у можливостях функцій Linux та Mac, співпраці в ІТ та безпеці, а також можливостей XDR. Microsoft має нарівні покриття версій Windows, дистрибутивів Mac та Linux порівняно з іншими постачальниками в його оцінці. Пропозиція має різноманітні корисні функції для розслідування, такі як автогенеровані імена виявлення, які можна прочитати людиною, та повтор історії атаки, щоб побачити, що саме сталося під час атаки та в якому порядку. Вся телеметрія вирівнюється з MITRE ATT&CK. Він надає вбудовану функцію пісочниці, рекомендації щодо відповідей, можливості віддаленої оболонки та спеціальні сценарії. Мисливці за загрозами можуть шукати телеметрію за типом або шукати необроблену телеметрію протягом 30 днів за замовчуванням. Вони можуть планувати запити, але не можуть створювати спеціальні правила виявлення на основі полювання. Microsoft найкраще підходить для тих, хто має велике розгортання Windows або тих, хто переходить на ліцензію E5.

Trend Micro впроваджує інновації далеко за межами свого суспільного сприйняття та виграє підтримку клієнтів. Trend Micro зосереджує свою пропозицію на циклі виявлення поверхні атаки, оцінки ризиків та застосування безпеки. Довідкові клієнти підкреслюють його швидкі темпи інновацій, що різко контрастує з суспільним визнанням. Заплановані вдосконалення включають оцінку ризику поверхні атаки, ширші дії та вказівки у відповідь, а також інтеграцію третіх сторін. Довідкові клієнти підкреслюють сумісність між різними частинами портфеля як ключовий диференціатор, і він узгоджує цю сумісність зі своєю моделлю ціноутворення за ціною на основі кредитів, які можуть бути застосовані до будь-якої з пропозицій у портфелі. Trend Micro забезпечує диференційоване покриття версій Windows, дистрибутивів Mac та Linux порівняно з іншими в цій оцінці. Виявлення позначені динамічними описами атаки. Усі аспекти розслідування закодовані кольором відповідно до рівнів ризику для швидшого розслідування, а вся телеметрія позначена застосовними методами MITRE ATT&CK. Пропозиція не забезпечує оркестрування відповіді в декількох кінцевих точках, але надає нативну функцію пісочниці, віддалену оболонку та спеціальні сценарії. Мисливці за загрозами можуть шукати за типами або за необробленими даними та відповідно планувати запити, але не можуть створити спеціальні правила виявлення. Вся телеметрія зберігається протягом 30 днів за замовчуванням. Довідкові клієнти зазначили, що звітність про відповідність вимогам залишається обмеженням. Trend Micro найкраще підходить для команд безпеки, які хочуть зосередитися на виявленні та реагуванні, зберігаючи інженерію виявлення та звітність окремо в SIEM.

Elastic застосовує значення SIEM до можливостей EDR, але відстає у відповідь. Elastic уявляє безпеку як проблему даних і надає пріоритет функціям, які дозволяють клієнтам використовувати ці дані так, як вони вважають за потрібне. Агент кінцевої точки діє як колектор і тепер повністю включений в Elastic SIEM. Безкоштовний рівень пропозиції включає багато основних функцій, таких як агент кінцевих точок. Elastic використовує модель ціноутворення на основі споживання, застосовуючи мислення хмарних обчислень до ціноутворення на продукцію EDR. Він виховав онлайн-спільноту, щоб команди безпеки могли краудсорсинговий досвід, який посилання на клієнтів вважають цінним. Його дорожня карта спрямована на розширення можливостей сторонніх поглинань, дій реагування та робочих процесів, і вона надає пріоритет новим ідеям, присвячуючи тиждень досліджень та розробок кожні два місяці цілеспрямованим інноваціям. Пропозиція підтримує трохи менше версій ОС на серверах Windows і Linux, ніж більшість у цій оцінці, але є нарівні з покриттям Mac. Колекція телеметрії налаштовується аж до колекції подій. Дані, які пропонує для розслідування, не настільки контекстуально багаті, як інші, а виявлення позначаються методами MITRE ATT&CK, але не всі телеметрії. Пропозиція не має нативної функції пісочниці, організації реагування в декількох кінцевих точках або можливостей віддаленої оболонки, які є великими обмеженнями для реагування на пропозицію EDR. Мисливці за загрозами можуть шукати дані та візуалізувати їх за допомогою графіків та діаграм, а також можуть планувати запити. Довідкові клієнти згадували про труднощі з користувацькими інтеграціями. Elastic найкраще підходить для команд безпеки з глибиною знань, які хочуть отримати гнучку пропозицію з функціями SIEM та EDR.

SentinelOne повинен узгодити своє бачення та стратегію з сильними сторонами своєї пропозиції. SentinelOne часто називають «новою дитиною на блоці» завдяки нещодавньому IPO та унікальним впровадженням автоматизації. Її бачення полягає в забезпеченні роботи, хоча заплановані можливості та функції явно не пов'язані з цим. Натомість його дорожня карта зосереджена на об'єднанні DataSet (раніше Scalyr) у пропозицію, переході до XDR та покращенні можливостей безпеки кінцевих точок. SentinelOne часто згадується його ІК-партнерами за функцію віддаленої оркестровки сценаріїв та можливості автоматизації. Пропозиція має нарівні покриття версій Windows, дистрибутивів Mac та Linux у порівнянні з іншими в цій оцінці. Вся телеметрія зіставлена з застосовними методами MITRE ATT&CK. Його функція Storyline надає певний контекст про атаку, але інтеграція зі сторонніми програмами ринку не дає захоплюючого контексту в оповіщенні, а натомість надає посилання та коментарі у функції приміток. Немає рідних можливостей пісочниці; однак він надає письмові рекомендації щодо відповідей та організацію дій реагування в різних кінцевих точках. Його функція оркестрування віддалених сценаріїв може застосовувати дії відповідей у різних кінцевих точках організовано та дозволяє створювати спеціальні сценарії. Мисливці за загрозами можуть шукати по всій телеметрії, яка зберігається протягом 14 днів за замовчуванням, менше, ніж більшість постачальників у цій оцінці. Вони також можуть створювати користувацькі виявлення на основі полювання на загрози. Довідкові клієнти підкреслили простоту розгортання та управління пропозицією. SentinelOne найкраще підходить для команд безпеки середньої та розширеної зрілості, які хочуть використовувати унікальні можливості автоматизації.

Bitdefender зосереджується на стійкості, але не має інтеграції зрілої пропозиції. Bitdefender вже давно є закулісною, надійною технологією безпеки кінцевих точок, яку використовують багато провідних продуктів безпеки на ринку. Це один з найбільш використовуваних, але напрочуд найменш розглянутих, EDR для ЗНП команди безпеки. Він зосереджує свою вагу на дослідженні та розробок за функціями, які методично покращують свою пропозицію, не випереджаючи лижі, з особливим акцентом на видимості активів, оцінці ризиків та автоматизації для запобігання, виявлення та реагування. Пропозиція Bitdefender проста та надійна. Він підтримує широкий спектр версій та дистрибутивів ОС у Windows, Mac та Linux, більше, ніж більшість у цій оцінці. Інтерфейс користувача логічний і чистий, об'єднує окремі сповіщення у пов'язані інциденти та забезпечує корисний контекст та кольорове кодування під час інциденту. Пропозиція відображає всю телеметрію до MITRE ATT&CK. Він також надає функцію рідної пісочниці та можливості віддаленої оболонки, хоча він не забезпечує оркестрування дій реагування на кілька кінцевих точок або спеціальних сценаріїв. Мисливці за загрозами можуть шукати по всій зібраній телеметрії, яка зберігається протягом семи днів за замовчуванням, і може створювати спеціальні правила виявлення. Довідкові клієнти похвалили його підтримку та команди продуктів, а також партнерство, яке він приносить на стіл. Однак вони зазначили, що його інтеграції зі сторонніми SIEM, SOARs та іншими інструментами обмежені, що ускладнює використання в більшій екосистемі взаємопов'язаних пропозицій. Bitdefender найкраще підходить для невеликих і ранніх і середніх команд безпеки, які хочуть мати надійний, ефективний інструмент EDR.

Palo Alto Networks створила надійну пропозицію з крутою кривою навчання. З XDR як своєю Північною зіркою, Пало-Альто катапультував можливості своєї пропозиції EDR за останні два роки. Він успішно активізував свою команду продуктів, а відгуки клієнтів високо оцінили взаємодію Пало Альто з ними, особливо його готовність розробляти спеціалізовані функції продуктів для вирішення випадків використання в галузі та конкретних клієнтів. Його дорожня карта зосереджена на трьох основних ініціативах: покращенні управління кінцевими точками, забезпеченні додаткового вмісту безпеки та спрощенні простоти використання. Його модель ціноутворення агресивна, і посилання на клієнтів рекомендують вести переговори та об'єднувати пропозицію з іншими продуктами Palo Alto Networks, щоб досягти конкурентної ціни. Пропозиція має середнє покриття для версій Windows, Mac та дистрибутивів Linux порівняно з іншими в цій оцінці. Інтерфейс користувача зайнятий і створений для тих, хто має досвід, з оповіщеннями, які містять безліч пов'язаної інформації, хоча інформація не дуже пристосована до того, що є найважливішим для розслідування. Вся телеметрія позначена застосовними методами MITRE ATT&CK. Пропозиція забезпечує організацію реагування в різних кінцевих точках і має власну функцію пісочниці через інтеграцію з Wildfire, можливостями віддаленої оболонки та користувацькими сценаріями. Мисливці за загрозами можуть здійснювати пошук за всіма даними, які зберігаються за замовчуванням протягом 30 днів, а також можуть створювати заплановані запити та спеціальні правила виявлення. Palo Alto Networks найкраще підходить для передових команд безпеки, які хочуть придбати існуючий стек Palo Alto Networks.

VMware Carbon Black повсюдно поширений, але йому важко відповідати інноваціям провідного конкурента. VMware Carbon Black найбільш відомий своїм переважним використанням постачальниками послуг MDR та IR. Однак це, здається, змінюється, оскільки все більше постачальників послуг розширюють свою підтримку інших пропозицій постачальників EDR з унікальними функціями автоматизації та варіантами ліцензування. Короткострокова та довгострокова увага VMware зосереджена на переході на XDR шляхом впровадження нових джерел даних у пропозицію та підтримки сторонніх партнерів. Незважаючи на те, що ці вдосконалення сприятимуть пропозиції XDR, це залишає прогалини в пропозиції EDR, які повинні бути заповнені, щоб залишатися конкурентоспроможними. Довідкові клієнти відзначили цінність спільноти Carbon Black для обміну ідеями між клієнтами. Пропозиція має чудове покриття різноманітних версій Windows, дистрибутивів Mac та Linux, хоча посилання клієнтів підкреслювали обмеження застарілих ОС з пропозицією SaaS. Пропозиція може співвіднести пов'язані виявлення з оповіщеннями про інциденти, які показують дерево процесів з обмеженим контекстом. Немає нативної функції пісочниці або оркестрування відповіді в декількох кінцевих точках, хоча вона має можливість віддаленої оболонки без спеціальних сценаріїв. Мисливці за загрозами можуть шукати дані кінцевих точок за допомогою regex і можуть зберігати пошуки як заплановані запити або як спеціальні правила. За замовчуванням телеметрія зберігається протягом 30 днів. Довідкові клієнти зазначили, що пропозиція наразі не підтримує SSO та MFA, активних одночасно, і що звітність недоступна в пропозиції. VMware Carbon Black найкраще підходить для команд безпеки середньої та просунутої зрілості з виділеним персоналом для налаштування та управління платформою.

Sophos має потужне бачення, але повинен досягти успіхів у UX, щоб виконати його. Софос відомий тим, що захищає середні організації понад 1,000 співробітників. Він має унікальне бачення підтримки аналітиків, щоб вони робили більше, ніж вони навчені, але його заплановані вдосконалення пропускають через заповнення критичних прогалин у його пропозиції. Його дорожня карта зосереджена на картографуванні mitre ATT&CK, керівництві розслідуванням та реагуванням, вдосконаленні моделей ML та XDR. Довідкові клієнти зазначили, що це може не дуже добре підійти для команд, які хочуть інтегруватися з третіми сторонами. Покриття для Windows, Mac і Linux нижче середнього в порівнянні з іншими в цій оцінці. Пропозиція дає базовий контекст для дослідження поряд з графіком загроз, який стає складним і його важко розібрати, оскільки включено більше виявлення та подій. Пропозиція не має вбудованої функції пісочниці або оркестрування дій реагування на кілька кінцевих точок, хоча вона надає письмові рекомендації щодо відповідей та можливості віддаленої оболонки без спеціальних сценаріїв. Мисливці за загрозами можуть шукати за типами, хоча згадані запити посилань клієнтів можуть зайняти багато часу для виконання та тайм-ауту через 15 хвилин. Мисливці за загрозами можуть визначати заплановані запити на основі полювання на загрози, і вся телеметрія за замовчуванням зберігається протягом 30 днів. Sophos найкраще підходить для організацій низької та середньої зрілості з невеликими ІТ-командами, які не обов'язково мають спеціальний персонал служби безпеки.

Cybereason надає пріоритет своєму ширшому портфелю перед досягненнями EDR. Cybereason був постачальником кінцевих точок чистої гри з моменту свого створення в 2012 році, але продемонстрував бачення та заплановані вдосконалення, які відокремлюють його найвідоміший продукт від основної стратегії компанії. Його майбутня стратегія зосереджена на переході на ринок і технологічному партнерстві з Google Chronicle: наданні своєї пропозиції XDR і використанні в аналітиці безпеки. Заплановані вдосконалення продовжують цю тенденцію, зосереджуючись на виявленні XDR, інтеграції та запуску нових пропозицій над новими функціями в EDR. Пропозиція має подібне покриття для версій Windows, Mac та дистрибутивів Linux, як і інші в цій оцінці. Пов'язані сповіщення корелюються з сповіщеннями про інциденти, а посилання клієнтів підкреслюють, що інтерфейс користувача інтуїтивно зрозумілий. Однак він не забезпечує такої глибини розвідки загроз і більшого контексту про атаку, яку змогли інші в цій оцінці. Пропозиція може організовувати дії реагування на всі кінцеві точки та забезпечує обмежену та необмежену можливість віддаленої оболонки, але не включає функцію рідної пісочниці. Мисливці за загрозами можуть шукати телеметрію виключно за типом (процес, IP, техніка MITRE ATT&CK тощо), а телеметрія за замовчуванням зберігається протягом 30 днів. Це дозволяє перетворювати запити на пошук загроз у користувацькі виявлення в режимі реального часу. Кіберсезон добре підходить для організацій, які рано використовують нові технології, або тих, хто хоче опрацювати Google Chronicle.

Бренд FireEye йде на пенсію, залишаючи клієнтів у підвішеному стані. Те, що колись було титаном індустрії безпеки та першим постачальником кібербезпеки, який був сертифікований DHS , тепер є портфельним постачальником, чиї продукти та функції розщеплюються та рекомбінуються, щоб створити нову організацію, Шпалера. Станом на 18 січня 2022 року бренди FireEye і McAfee Enterprise були перезапущені як Trellix, і , як повідомляється, обидва бренди мають намір піти на пенсію. Хоча більша частина стратегії компанії залишається під питанням, вона буде впорядковувати свій портфель протягом наступних кількох місяців і має намір зосередитися на можливостях XDR. Поки що залишається незрозумілим, як це вплине на клієнтську базу FireEye. Підтримка FIREEye в цій оцінці стоїть на одному рівні з іншими постачальниками. Оповіщення відповідають кінцевій точці і не співвідносяться з іншими пов'язаними оповіщеннями. Пропозиція позначає всі сповіщення та метадані кінцевих точок за допомогою методів MITRE ATT&CK. Пропозиція надає обмежений контекст у кожному оповіщенні, і в пропозиції немає функції рідної пісочниці. Пропозиція не забезпечує оркестрування відповіді в декількох кінцевих точках, але є можливість віддаленої оболонки. Мисливці за загрозами можуть створювати спеціальні правила на основі запитів. FireEye найкраще підходить для команд безпеки, які в даний час інвестують у FireEye Helix, або тих, хто зацікавлений у майбутньому Trellix. FireEye відмовився брати участь у повному процесі оцінки Forrester Wave; ця оцінка ґрунтується на загальнодоступній інформації.

McAfee Enterprise розділений надвоє, залишивши майбутнє продукту EDR невідомим. McAfee Enterprise, колись найвідоміший бренд безпеки у світі, був придбаний STG у липні 2021 року і зараз розділений на дві бізнес-одиниці. Очікується, що одним з них буде портфель McAfee Enterprise Secure Service Edge (SSE), а решта портфеля McAfee проходить ребрендинг. Станом на 18 січня 2022 року бренди FireEye і McAfee Enterprise були перезапущені як Trellix, і , як повідомляється, обидва бренди мають намір піти на пенсію. Доля пропозиції McAfee EDR залишається під питанням, оскільки напрямок нової компанії буде зосереджено на ринку XDR. Пов'язані з ними виявлення можна співвіднести разом з попередженнями про інциденти. Інтерфейс користувача зайнятий і надає, можливо, надмірну кількість даних кінцевому користувачеві під час розслідування, ускладнюючи процес реагування на інцидент. Це включає в себе безліч різних способів перегляду даних, даних, позначених методами MITRE ATT&CK, а також розбивку запитань і відповідей, які продукт ідентифікує як релевантні. Пропозиція надає власні можливості функції пісочниці та можливості віддаленої оболонки, хоча вона не включає оркестрування відповіді в кількох кінцевих точках. Мисливці за загрозами можуть визначати звичаєві правила. McAfee найкраще підходить для команд безпеки, які в даний час інвестують в портфель McAfee, або тих, хто зацікавлений в майбутньому Trellix. Макафі відмовився брати участь у повному процесі оцінки Forrester Wave; ця оцінка ґрунтується на загальнодоступній інформації.

BlackBerry слідкує за своєю ДНК у профілактиці та компенсує прогалини в продуктах за допомогою послуг. BlackBerry придбала Cylance у 2019 році, і більша частина його стратегії з тих пір слідує цим корінням з мисленням, орієнтованим на профілактику. Він розробив пропозицію для роботи з мінімальною взаємодією з боку кінцевого споживача, що є сильною стратегією для профілактичного продукту, але для пропозиції, яка вимагає взаємодії кінцевих користувачів, як-от EDR, вона не дотягує. Стратегія BlackBerry, схоже, компенсує це, співпрацюючи з Exabeam, щоб забезпечити повністю керований XDR. Однак це буде важка битва, враховуючи стан пропозиції та те, що її пропозиція послуг не є добре відомою на і без того переповненому ринку. Його дорожня карта включає вдосконалення датчиків кінцевих точок та можливості XDR. Пропозиція має широку підтримку версій Windows та Mac, але не забезпечує покриття Linux на рівні. BlackBerry виявляє виключно на кінцевій точці, що обмежує контекст, який може надати пропозиція, і лише виявлення позначаються MITRE ATT&CK, а не всі телеметрії. Це вимагає значних ручних зусиль для співвіднесення попереджень, розслідування та вирішення атаки. Він має автоматизовані дії реагування, віддалену оболонку та спеціальні сценарії, але не має нативної функції пісочниці або оркестрування відповіді в кількох кінцевих точках. Мисливці за загрозами можуть здійснювати пошук на основі типів (IP, хеш тощо) і можуть визначати спеціальні правила виявлення на основі запитів. Вся телеметрія зберігається протягом 30 днів за замовчуванням. Довідкові клієнти відзначили, що пропозиція потребувала постійного тюнінгу і зайняла більше часу для завершення початкового тюнінгу, ніж очікувалося. Вони також рекомендували перейти за межі підтримки рівня 1 для найефективнішого обслуговування клієнтів. BlackBerry Cylance найкраще підходить для команд безпеки з мисленням, орієнтованим на профілактику, які прагнуть проводити менше часу у своєму інструменті EDR.

Fortinet використовує свою тканину безпеки для усунення недоліків у своїй пропозиції EDR. Fortinet придбав enSilo у 2019 році, перейменувавши його на FortiEDR незабаром після цього та включивши його в fortinet Security Fabric. Fortinet намагається вирівняти свої можливості через відсутність бачення. Його дорожня карта зосереджена на його безпековій тканині та нарощуванні своїх можливостей XDR, незважаючи на серйозні дірки в її пропозиції EDR. Однак довідкові клієнти згадали, що дорожня карта є орієнтовною і часто змінюється, при цьому предмети видаляються. Fortinet тісно співпрацює з MSSP, щоб надати свою пропозицію, і відгуки клієнтів підкреслюють, що пропозиція є більш економічно ефективною, ніж інші на ринку. Пропозиція має покриття вище середнього для різних версій серверів Windows, із середнім покриттям для різних дистрибутивів Linux та Mac. Оповіщення надають основну інформацію, таку як графік подій і те, що стало причиною виявлення, але не має контексту про атаку. Користувачі вручну співвідносять пов'язані з ними виявлення, вимагаючи зусиль для повного розслідування та вирішення атаки. Пропозиція не включає функцію рідної пісочниці без окремої підписки на FortiSandbox, і вона не надає рекомендацій щодо відповіді або віддаленої оболонки. Він забезпечує організацію відповіді в кількох кінцевих точках за допомогою функції плейбуку за межами оповіщення. Мисливці за загрозами можуть здійснювати пошук за типами (процес, IP і т.д.), а телеметрія зберігається протягом 30 днів за замовчуванням. Мисливці за загрозами можуть створювати заплановані запити на основі пошуку загроз, але не замовних правил виявлення. Fortinet найкраще підходить для тих, хто шукає широкого охоплення серверних версій Windows або тих, хто інвестував у fortinet Security Fabric.

Check Point використовує своє портфоліо для диференціації пропозиції, яка в іншому випадку перевершує. Check Point Software Technologies відома широтою свого портфоліо, з інструментами, що охоплюють мережу, хмару, користувача та доступ. Референтні клієнти обрали пропозицію через її портфельний підхід; однак, порівняно з іншими в цій оцінці, включаючи портфельних постачальників, його можливостей EDR бракує. Його дорожня карта та стратегія зосереджені не на вдосконаленні технології кінцевих точок, а на розширенні охоплення своєї технології, перенесенні EDR на XDR, можливості управління поверхнею атаки та вдосконаленні процесу розгортання. Його бачення не має деталізації та зосередженості на потребах клієнта. Довідкові клієнти цінували інтегроване портфоліо для консолідації інструментів, оскільки Check Point надає можливості безпеки кінцевих точок таблиць на додаток до підключення до VPN в одному клієнті. Однак пропозиція не підтримує таку глибину охоплення ОС, як інші в цій оцінці, з обмеженою підтримкою версій Windows і дистрибутивів Linux і покриттям на рівні Mac. Він відображає виявлення MITRE ATT&CK, і для подальшого розслідування попереджень необхідно згенерувати звіт. Макет можливостей розслідування та реагування - включаючи нативну функцію пісочниці - вимагає ручних зусиль для ідентифікації, обсягу та координації діяльності, що є набагато складнішим та більш трудомістким, ніж більшість у цій оцінці. Мисливці за загрозами можуть здійснювати пошук за типами (процес, IP тощо) і можуть планувати запити, але не можуть генерувати спеціальні правила виявлення. Вся телеметрія зберігається протягом семи днів за замовчуванням. Довідковий клієнт також висвітлив проблеми з підтримкою клієнтів та проблемами продуктивності з агентом. Пропозиція не має можливостей XDR, які зазвичай доступні на даний момент. Check Point найкраще підходить для команд безпеки, які зараз використовують інші продукти в портфоліо Check Point.