Tentando decidir entre Trend Vision One e Defender Plano 1 (ou fazer upgrade para o plano 2). Alguém tem experiência com ambos? Tem alguma opinião?
Eu sou fã do Defender porque você pode usá-lo para configurar risco de segurança para políticas de conformidade e controle de acesso.
Tem software antigo instalado que não foi atualizado? Com exploits conhecidos? Configure risco para médio, falhe na verificação de conformidade, perca acesso ao escritório, VPN, rede corporativa, acabe em uma VLAN básica que só tem internet.
E ele é altamente avaliado pelos outros antivírus.
Defender tem sido ótimo para nós.
Eu vim do CrowdStrike e, quando troquei de empresa, obtive minha certificação em TrendMicro.
Do meu ponto de vista, embora seja fácil de usar, vejo como muito verde. Em um webinar que fizeram sobre a apresentação do produto, fiz 4 perguntas e eles tiveram que parar as perguntas porque eu era muito difícil de responder. 
Atualmente estou com um cliente usando Defender XDR Plano 2.
Recomendo muito o Defender se essas forem as duas alternativas.
Muito melhor visibilidade e integração com produtos Microsoft. Mesmo com Linux, funcionou muito bem para nós.
Huntress Labs é fã do Defender e isso é tudo o que preciso saber sobre o assunto.
Troquei o Trend há algum tempo pelo Bitdefender. Sem arrependimentos.
Não tenho certeza sobre o Defender, mas ouvi coisas boas aqui. O BD é fácil de configurar e gerenciar. Mudanças simplesmente acontecem do nada no painel e causa problemas agressivos.
Trend é um POS pesado na endpoint. Você gostaria de removê-lo? Não tem problema, deixamos o TrendMicro Basecamp nas suas máquinas, e você não consegue removê-lo.
Quer saber se seu usuário clicou em um link malicioso por e-mail, o que aconteceu depois que clicaram, e uma solução que pode ir do seu cloud, on-prem, identidade até o endpoint de ponta a ponta? Defender é sua resposta. Quer que esses logs sejam facilmente pesquisáveis junto com tudo mais que você faz no O365? Quer a capacidade de colocar tudo isso em um SIEM com poder de IA? etc.
Não há equivalente no mercado ao MDO + MDE + MDI + Sentinel. Seriam necessários múltiplos produtos e muitas customizações para juntar algo assim.
QRadar, Lightcyber (agora Palo), Darktrace, eSentire, Sophos, Trend, Symantec, S1, Clownstrike, etc., não chegam nem perto da facilidade de uso e visão que temos com o Defender em uma endpoint. Muitas vezes, nem usamos para segurança, usamos para responder perguntas como quem abriu esse Excel após o envio do contador, porque queremos saber, não porque seja malicioso.
Isso nem arranha a superfície, isso é só o básico. Vi ele parar um ataque completo de administrador de domínio credenciado na hora, com o invasor tentando criar GPOs para desativar o Defender.
Pensando em trocar se já tiveres as licenças, é uma decisão fácil.
Aqui é um pentester interno. Vi uma grande variedade de produtos AV/EDR nos últimos 4+ anos. Encontrei o Trend menos de 5 vezes, mas o Microsoft Defender for Endpoint mais de uma dúzia de vezes, nesse período. Nota de rodapé, vejo o CrowdStrike cerca de 75-80% do tempo.
Mas, no meu tempo fazendo pentest contra ambos, Trend e MDE, posso dizer com confiança que o MDE funciona muito melhor. Provavelmente mais caro, mas na minha opinião, a Microsoft fez um ótimo trabalho com o MDE e ele se encaixa bem no ecossistema deles.
Do meu ponto de vista, faço pentest em muitas máquinas Windows e as integrações do AMSI não parecem tão rigorosas quanto às de outros fornecedores.
Nada contra o Trend, acho que é difícil competir atualmente com os grandes: CrowdStrike, Microsoft, SentinelOne, devido ao investimento e talento que esses grandes têm.
Há uma diferença substancial entre MDE p1 e p2.
Testo regularmente um endpoint VM com p1 e consigo usar injeção de DLL refletiva / hijacking de DLL que passam pelos cheques.
Tudo isso é bloqueado no P2.
Deception + consultas de caça a dispositivos é top.
Atualmente, CrowdStrike ou MDE p2 são algumas das melhores opções.
Defender E5. Conseguiu pegar coisas que o Trend não pegou.
Bitdefender seria uma alternativa melhor.
Estou lutando para remover o Basecamp agora.
MDO + MDE + MDI + Sentinel
Você consegue tantas informações do MDO + MDE + MDI. É quase uma história de ataque perfeita dentro do XDR.
Adicionando, se você tem E5 para seus usuários, o MDE é uma escolha óbvia.
E o Sophos? Perto do CS ou S1?
O Defender for Endpoint Plano 1 deveria captar tudo o que o Plano 2 capta, foi minha compreensão? O que especificamente o recurso do Plano 2 impediria, se algo não estiver no Plano 1?
Minha maior preocupação com o Defender agora é a licença. Somos uma loja on-prem e usamos principalmente o M365 para email e Teams. Temos mais computadores do que usuários, mas, pelo que entendo, cada usuário tem 5 dispositivos. Todos os 400 usuários têm P1, mas tenho cerca de 10 usuários com P2, que habilitaram o P2 para todos os dispositivos (mas não para o usuário)?
Adicione WDAC/ASR e você terá uma potência de parada que pode fazer até os pentesters mais experientes chorar.
Até o Business Premium com Defender for Business é difícil de superar pelo preço (~€20).