深信服EDR终端响应平台

一、EDR介绍：终端检测响应平台

1.终端安全由传统防病毒向EPP+EDR融合演进
EPP解决已知威胁，EDR解决未知威胁
EPP融合EDR构建下一代终端安全
2.四阶段模型
预防，预测
主动风险分析预测攻击基线系统
响应，调查
修复与进行变更设计/模式变更调查与取证
组织，防护
强化和隔离系统转移攻击者阻止事件
检测，监控
检测事件抑制事件确认风险并按优先级排列
3.SAVE 人工智能检测引擎
杀毒能力具有泛化能力查杀病毒变种
离线场景杀毒能力强，能力退化慢，不依赖于云端能力
带宽成本更新量小，节约带宽成本，不会产生更新带来的网络风暴
内存占用内存占用小 70M

二、EDR安装部署

1.总体架构
三层
基础平台层：负责提供集中管控，云查以及主机代理功能基础能力
核心引擎层：负责提供病毒检测，威胁分析以及行为检测等能力
功能展现层：从预防，防御，检测，响应四个方面，提供全面的安全防护体系
EDR部署结构分为：云端，管理端，客户端（Agent）
2.网络连通性确认
客户端与管理平台使用到TCP ：443，8083，54120 端口
443端口：https服务端口，用于管理平台页面访问，升级包补丁包下载，远程脚本下载。
8083端口：IPC通信端口，用于端和MGR的通信
54120端口：逃生端口，应急情况与agent通信端口，完成agent重启，卸载和脚本执行命令下发
3.硬件首个被一体化
EDR硬件设备eth0口默认地址为10.251.251.251 默认登陆：admin/admin

三、EDR授权和升级

1.授权模式
EDR授权由智防、智控、智响应和服务端防护组成。
一个终端一个授权
一个服务端授权=智防+智控+智响应+服务端防护
2.授权过期
过期后，MGR管理平台，agent终端病毒库和引擎都升级不了，威胁分析功能无法使用
3.授权释放
每上线一个终端占用一个授权。终端离线后并不会自动释放授权，对于长期不在线的终端可以通过移除终端释放授权
4.产品试用授权
试用时间为三个月

四、EDR终端管理

1.自动分组
当需要根据IP地址自动上线到匹配的组，可以使用自动分组管理
2.终端清点
终端清点是由EDR客户端读取终端操作系统信息，已安装的应用软件信息，开放的监听端口信息，终端的系统账户信息和终端硬件信息。
3.基线检查
基线检查能够对Windows和linux系统以下5项安全策略进行合规性检查：
身份鉴别策略组检测
访问控制策略组检测
安全审计策略组检测
剩余信息保护策略组检测
入侵防范检测

五、策略中心

1.基本策略
资产信息登记终端管理员联系方式终端弹框提醒终端防护中心密码
2.病毒查杀
文件信誉检测引擎
基于传统的文件hash值建立的轻量级信誉检测引擎
极速均衡低耗
3.实时防护
文件实时监控
webshell检测
EDR能够及时检测web服务器webshell后门，防止攻击者入侵服务器，获取权限
注意：webshell检测只支持检测linux和win server的web服务器站点目录及其子目录webshell文件，winpc终端不支持
无文件攻击
无文件攻击是指利用存在缺陷的应用程序，将代码注入到正常的系统进程，进而获得访问权，并在目标设备执行攻击命令的一种高级攻击手段
4.安全加固
安全加固功能只允许可信进程（EDR手动添加或者自动学习）在服务器运行或访问服务器重要目录，不可信进程无法在服务器运行
此功能只适用于windows server，不适用windows pc 和linux系统。
5.漏洞修复
漏洞修复功能能够检测并修复windows系统漏洞，不适用linux系统和其他应用软件的漏洞修复。

六、EDR响应中心

1.威胁响应
威胁终端视角
威胁终端视角集中显示内网已失陷终端，高可疑终端和低可疑终端情况
威胁事件视角
威胁事件视角集中显示内网不同类型威胁数量（如病毒查杀，勒索病毒，暴力激活成功教程，僵尸网络和webshell），以及对这些威胁进行处置，信任，忽略和威胁分析
2.漏洞响应
漏洞响应集中展示EDR检测到windows终端存在的系统漏洞分别从终端或漏洞视角集中显示内网当前漏洞情况，并且可以批量修复
3.威胁定位
快速定位全网存在相同威胁文件的终端
快速定位全网相同威胁域名的终端

七、EDR微隔离

微隔离是一种集中化的流量识别和管理技术
1.访问关系
在东西向访问关系控制上，优先对所所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制策略。
2.原理
微隔离使用windows防火墙WFP和linux防火墙iptables进行访问流量控制和上报的
3.微隔离使用
在用户区出现了勒索病毒时，勒索病毒将会作用135，136，137，445，3389进行传播，在不能即时查杀时，可使用微隔离，对所有终端进行端口封堵。
业务系统梳理
定义对象
配置微隔离策略
效果验证

八、EDR联动管理

1.云网端联动
云脑，云图，和网络设备：如AC(上网行为管理），AF(下一代防火墙），SIP(安全态势感知），端即EDR产品。云网端产品联动安全解决方案，为客户提供应对威胁的云网端纵深防护闭环体系。
2.EDR与AF联动
AF需要和EDR TCP443端口连通
EDR与AF联动，EDR无需配置，在AF上配置
AF能够联动EDR对识别的风险用户进行快速查杀，可以对EDR联动分析的威胁文件进行隔离，信任操作
僵尸网络域名取证
AF联动EDR举证，如果只有恶意域名解析的日志，没有该恶意域名的http流量，EDR无法获取到域名的访问进程，无法进行举证。
3.EDR与SIP联动
EDR管理平台能与SIP的TCP7443联通
SIP能与EDR的TCP443联通
两者任意配置一个都可以实现联动
日志上报
联动封锁，访问控制，联动查杀，进程取证
4.EDR与AC联动
AC需要和EDR TCP443端口连通
EDR与AC联动，EDR无需配置
可以推广部署Agent
联动杀毒