深信服 EDR 作为终端检测响应平台,轻量级终端+管理平台组成的解决方案,利用对终端威胁的持续检测能力,对威胁事件进行一键隔离的响应设置,深信服的 EDR 产品与 NGAF、AC、SIP 产品的联动协同响应,形成新一代的安全防护体系。前面几章介绍了僵尸网络、恶意链接等发现方式,需要联动 EDR 平台实现协同响应。
此功能启用建议:有在用 EDR 产品的用户建议启用。无 EDR 产品用户客户联系深信服试用体验。
【上网安全】-【安全配置】-【终端监测与响应(EDR)】配置 EDR 管理平台 IP 地址。
接入成功后,可以看到 EDR 服务信息、EDR 管理平台 IP、服务时长、接入 EDR 的终端数和已联动次数。
点击“前往 EDR 管理平台”,进入 EDR 平台
点击“查看联动详情”,可以看到联动终端的详细信息
终端已经安装过 EDR 客户端,AC 与 EDR 管理平台联动
环境要求
AC 和 EDR 互相通信;EDR 和终端互相通信。
使用方法
发现安全事件后,点击查看详细
点击“联动 EDR 分析”,等待 1-5 分钟,提供分析结论和处理方法
日志中心操作记录
PC 客户端可以通过“EDR 终端防护中心”自行查杀
查杀结果
终端未安装过 EDR 客户端,AC 与 EDR 管理平台联动
环境要求
需要 AC 和 EDR 联动,需要 AC 与 EDR 互相可通信;
需要 AC 协助推送 EDR 客户端,需要 AC 与内网终端可通信; 需要 EDR 联动查杀,需要 EDR 和内网终端可通信。
配置方法
通过 AC 进行客户端推送提醒,点击“推送配置”
配置“启用推送配置”
EDR 管理平台对应配置页
重定向页如下图:
终端客户端安装好后,联动查杀方式同 5.2.1
只支持访问 http 网页重定向,不支持访问 https 网页重定向
AC 结合 EDR 推送重定向页面,不能完全类比内网准入合规的功能,因为在未安装 EDR 软件客户端时,PC 终端已经可以上网了。
建议使用Chrome浏览器访问!
