AF与EDR联动可实现联动下发病毒查杀及僵尸网络域名访问进程取证。

联动条件

网络连通性：AF与EDR的TCP443端口可以正常通信；

版本要求：AF使用8.0.12及以上版本。

联动配置

1.登录AF平台，在[下一代安全防护体系/网端联动/网端联动接入设置]页签下，输入EDR管理端IP，编辑完成后点击<立即启用>，配置页面如下图所示。

2.联动成功后，在上页面可看到服务状态为在线标识，如下图所示。

联动效果

联动成功后，可实现AF与EDR联动下发病毒查杀及访问僵尸网络进程举证等操作。

1. 联动下发病毒查杀

当AF识别到风险终端时，可联动EDR进行查杀。在AF平台的[运行状态/用户安全]页签下，可实现针对发现的风险终端联动EDR进行病毒查杀、对识别到的威胁文件进行隔离、信任等操作，联动页面如下图所示。

2. 联动举证访问僵尸网络进程

EDR能够记录终端访问的域名及访问域名的进程，当AF上发现僵尸网络日志时，可联动EDR进行举证、溯源，帮助用户有效举证终端访问僵尸网络域名的具体进程及进程关联文件。在AF平台的[运行状态/用户安全]页签下，可查看具体风险终端对应的[终端取证可疑文件]，即是AF联动EDR进行僵尸网络举证的结果，如下图所示。

同时可点击<详情及操作>查看EDR举证的恶意域名访问溯源结果，并对威胁文件进行相关处置，如下图所示。