EDR与aTrust联动-统一端点安全管理系统aES-深信服技术支持

EDR与aTrust联动

更新时间：2023-07-25

aTrust与EDR 联动可实现客户端统一安装和使用、统一aTrust和EDR客户端托盘、aTust联动EDR对终端环境进行检测，当终端存在风险时，禁止用户通过不安全终端访问业务，隔离来自终端的风险。

联动条件

aTrust与EDR联动需要满足以下版本要求和服务端口开放要求，防火墙需要终端与设备之间、设备与设备之间以下通信端口。

设备类型	版本	服务端口	备注
SDPC （控制器）	2.2.6及以上版	TCP4488：终端接入端口（缺省443，可修改）
Proxy （代理网关）	2.2.6及以上版	TCP443：WEB服务代理端口（可修改） TCP441：隧道应用接入端口（可修改）
EDR管理端	3.5.26及以上版	TCP 443：控制台访问端口（可修改） TCP 4430：Agent组件更新和病毒库更新（可修改） TCP 8083：Agent和管理端业务通信端口 TCP 54120：管理端控制Agent禁用/启用/卸载 ICMP：Agent安装时，到管理端连通性探测

联动配置

1.EDR管理端接入配置

在[系统管理/系统设置/网络设置/高级配置/管理端端口设置]页面，可以修改EDR管理端控制台端口和终端程序升级安装端口，建议保持默认配置端口。

EDR管理端接口如果存在多个IP地址，需要在[管理端多IP设置]页面配置EDR管理端所有IP地址。

2.设备对接配置

（1）aTrust生成联动码

登陆aTrust管理端，打开[系统管理/特性中心]，开启<一体化终端>特性。

打开aTrust管理端[安全中心/深信服联动设备]页面，点击<联动码设置>，生成联动码。

（2）EDR接入联动设备

登录EDR管理端，打开[系统管理/联动管理]页面，点击<接入联动设备>，选择[使用联动码接入]，粘贴aTrust上生成的联动码。

点击<下一步>后可以读取到aTrust的连接信息，选择与aTrust控制器通信的IP地址后点击确定即可。

配置完成后，点击<连通性测试>测试联动配置是否成功。

通过SDP也可以看到EDR联动状态已经成功。

：

也可以在EDR生成联动码，在aTrust控制器识别联动码生成关联关系。

3.启用集成策略

（1）aTrust集成策略配置

登录aTrust管理端，打开[业务管理/策略管理/全局策略]页面，勾选【强制安装客户端】开启终端强制安装。

：

如果不开启强制安装客户端，纯WEB资源环境下不会主动推送aTrust客户端。

集成安装策略aTrust可以设置全局推送或者针对指定用户定向推送。

如果针对全部用户推广，可在全局策略同步勾选[EDR客户端联动]选项，并选择联动的EDR设备。

如果只针对部分用户推广，可以在aTrust管理端[业务管理/策略管理/用户策略]页面添加策略。

选择适用用户，勾选<EDR客户端联动>，并选择联动的EDR设备。

（2）EDR集成策略配置

用户如果需要通过先安装EDR再联动安装aTrust客户端，还需在EDR管理端[系统管理/系统设置/基本设置]页面勾选<客户端集成并下载aTrust零信任客户端>选项。

：

如果所有用户均通过aTrust登录客户端并联动下载EDR客户端，也可不开启该选项。

联动效果

1.统一客户端

（1）客户端安装

全新安装场景(客户当前无AC准入和EDR)

该场景面向用户新上aTrust和EDR场景。

当用户需要远程访问aturst代理的业务系统，提示用户需要安装aTrust客户端。

下载安装完成后，可在客户端看到aTrust系统托盘。

如果是开启的全局策略，aTrust客户端安装完成后，EDR客户端会在后台静默下载安装（由于EDR安装包比较大，内网环境需要等待5-10分钟，公网环境根据实际的带宽情况可能会比较久）。

：

1.如果没有开启全局策略，只开启了用户策略的话，需要对应用户认证登录成功以后才会联动下载EDR。

2.当前版本EDR后台安装暂时没有下载和安装进度可以展示。

等待EDR客户端安装完成后，用户可以看到All in one客户端，即aTrust托盘上有“终端检测响应”的图标，认证后可访问业务系统。

：

aTrust+EDR场景下，AIO系统托盘主界面为aTrust客户端。

加装场景(客户当前有aTrust，但是没有EDR)

该场景面向已经部署aTrust客户端，新增部署EDR客户端的用户。

1.用户如果部署的aTrust为非AIO版本，需要先完成aTrust设备升级，并完成EDR设备部署和联动配置，具体各项配置与前述基本一致。

2.客户端登录aTrust后，aTrust会提示升级并在后台静默安装EDR客户端，EDR静默安装过程需要耐心等待。

3.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

加装场景(客户当前有EDR，但是没有aTrust)

该场景面向已经部署EDR客户端，新增部署aTrust客户端的用户。

1.用户如果部署的EDR为非AIO本，需要先完成EDR管理端升级，并完成aTrust设备部署和联动配置，各项配置与前述基本一致。

2.EDR平台升级完成以后，客户端会自动静默升级，升级过程需要耐心等待。

3.EDR管理端如果同步开启了[客户端集成并下载aTrust零信任客户端]选项，客户端更新成功后会自动在后台静默安装aTrust客户端。

4.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

（2）客户端使用

在aTrust未认证前，如果用户需要进入EDR界面进行终端安全相关问题的发现和处置，点击右上角图标进入对应的EDR产品界面。

在aTrust认证后，用户可点击<终端检测响应>图标，进入EDR产品界面。

（3）客户端退出

整体退出

右键点击系统托盘，点击退出客户端选项。

在对话中选择同时退出“EDR终端检测响应”，可以同时退出aTrust和EDR客户端。

EDR客户端退出需要输入防护密码，需要由管理员提供，输入密码后即可整体退出客户端。

：

客户端完整退出后，重新登录aTrust，此时只会拉起独立的aTrust客户端。同理，如果只单独打开EDR客户端，也只会开启EDR独立客户端。

分开退出

右键点击系统托盘，点击退出客户端选项，在对话中缺省不选择同时退出“EDR终端检测响应”选项，可单独退出aTrust客户端。

退出aTrust客户端后，系统托盘将变更为EDR独立客户端托盘。

如需单独退出EDR，可点击进入EDR托盘图标以后，再点击退出选项，即可单独退出EDR客户端。

（3）客户端卸载

当前版本各产品线卸载相互独立，互不干扰。

：

aTrust与EDR终端AIO功能当前仅支持win 7、win10和win11系统，不支持其它操作系统。

2.用户信息同步功能

EDR平台可配置开启信息同步、实现人机对应，且可配置接受AC/aTrust用户信息的优先级，优先接受AC还是aTrust传来的信息。

AIO场景下，在终端管理平台登录aTrust，aTrust会将登陆的用户名发送给EDR，EDR上报到平台。AC登录用户名变化时，EDR会收到新登录用户名消息，并上报给平台。如果aTrust优先级高，且aTrust此时上报了用户名消息，则会用aTrust的用户名信息。

在EDR Agent界面填写后，会上报到平台，查看配置中心会发现信息来源为EDR。

登录aTrust后，aTrust将用户名发送给EDR，EDR终端和平台的用户名显示均为aTrust上报的用户名。

3.环境感知

aTrust通过与EDR联动，对终端环境进行检测并给出评分，当终端环境存在风险，不满足aTrust安全要求时，可以禁止用户访问业务，隔离来自终端的风险。

aTrust与EDR联动实现此功能，除了上述基础联动配置，还需要按如下进行配置。

（1）EDR配置

：

配置前，我们需要提前跟了解客户的业务场景和安全策略，沟通清楚对各项安全风险的容忍度，以便合理设计扣分值。例如，在电子政务外网中，客户严格要求不允许终端接入业务系统的时候有外接互联网的行为，我们可以将违规外联监控的扣分设置一个相对较高的值，以便发生这种行为aTrust能感知并禁止用户接入，保障客户业务安全，以下配置以该需求为例。

登录EDR管理端，打开[终端管理/策略中心/环境感知]页面，勾选[开启环境感知]选项，勾选需要关注的环境感知项目如违规外联监控、漏洞监控、病毒监控、Windows防火墙监控等，并根据实际的业务场景和客户安全需求设置扣除的分数。