首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

统一端点安全管理系统aES

深信服统一端点安全管理系统 aES,围绕端点资产安全生命周期,通过预防、防御、检测、响应赋予端点更为有效的安全能力。在应对APT高级威胁、变种勒索的同时,通过多层级检测响应机制、云网端协同联动、威胁情报共享,帮助用户快速发现并精准处置端点安全问题,构建有效的终端安全防护体系。
点击可切换产品版本
知道了
不再提醒
3.7.12R3
统一端点安全管理系统aES 文档 最新动态 版本发布动态
{{sendMatomoQuery("统一端点安全管理系统aES","版本发布动态")}}

版本发布动态

更新时间:2024-06-12

aES3.8.6

功能概述/功能价值 功能详细介绍
aES品牌切换 
 

EDR、CWPP产品融合,升级为aES产品

 
自保护
 

1.EDR被攻陷后预警:

成功防御黑客攻击的前提是EDR能稳定正常运行,日常运营过程发现,在多起勒索失陷事件中,频繁出现EDR被第三方内核工具暴力结束进程,删除关键防御组件的情况,故在勒索攻击防御过程中,提升EDR自身的防杀(自保护)能力是极为重要一环。

2.敏感时间段内禁止安装驱动服务:

通过对该EDR被KILL场景进行能力补齐,可有效在黑客勒索攻击过程的防御规避阶段进行阻断,达到保障用户不受勒索的目的,提升EDR勒索防御成功率80%(产品能力缺陷导致的失陷)。

3.非授信驱动模块拦截(黑客工具拦截优化):

优化黑客工具拦截功能,黑客工具拦截信息上报可运营。

4.自保护驱动内核对象权限筛选能力增强:

本需求主要从“内核对象权限筛选”这个方向触发,增强我们自保护内核模块的权限过滤能力,最终目标是防御来自用户态的所有攻击方式。
轻桌管-垃圾清理 
 

终端用户可以定期简单快速的通过一键式垃圾清理来缓解终端因为堆积太多缓存内容导致终端卡顿不便于使用的情况。

优化软件盘点

1.支持全量一键导出:不做数据量限制,全部导出;

2.支持当前页导出:330已经支持;

3.以上均支持筛选后导出;

4.解决5w性能限制:提升性能上线,支持导出数据1000W;
 
信创

1.信创支持AIO:

(1)终端的安全/运维人员希望多个产品可以有一个端融合一致的感知和部署体验,这样可以减少员工对推端的排斥,减少多个端点部署给员工造成的打扰;

(2)用户在办公中,因为网络、安全的影响,无法高效率的进行办公,但是目前解决这些问题的功能都集成在多个客户端中,用户操作很繁琐,影响工作效率,因此AIO方便用户进行办公使用;

2.信创漏洞优化:

(1) 信创漏洞修复过程,尤其替换、修改文件过程应该是个原子操作过程,避免被产品其他功能打断,类似升级、重启、禁用、磁盘加密涉及系统重启功能都需要互斥,并且要增加相关的文案提醒、错误提醒;

(2)合入cwpp漏洞检测版本比较误报能力,漏洞检测规则能力持续提升;

(3)优化漏洞修复超时机制,解决目前国产化漏洞修复超时机制不准确的问题,在修复超时异常场景中,管理端可以获取到终端状态。

新增linux二次认证

  

在策略中心-勒索防护的基础上,新增Linux二次认证策略。支持验证码和自定义密码两种验证方式(自定义密码可以修改)。自定义策略生效时间段可以选择单次生效或者重复生效,同时可以配置免二次认证白名单,并且各个分组间的策略可以继承。

新增STA对接

 

在系统管理-联动管理的基础上,新增流量采集转发功能。通过直接配置STA地址接收终端的流量转发,突破原mgr上报STA的性能瓶颈。转发协议可以选择VXLAN/GRE,同时可以控制转发速率阀值。此外,还支持全量采集和五元组过滤采集,以及检测终端与STA的连通性。

 

 

EDR3.7.12

桌管:

功能概述/功能价值 功能详细介绍
MAC环境USB管控
管理员可以更精细化的配置USB管控权限,使管理员可以基于更多不同的业务场景配置相应的策略。对USB设备精细化管理,帮助客户在事前尽可能阻断病毒传播/信息泄密等风险,提升EDR桌管能力的竞争力。
防泄密-桌面水印合入EDR
解决IT管理员缺少手段将数据保护工作落地执行的问题,提供水印功能提高数据泄密的门槛。
MGR可控制终端关机 管理员可以提醒终端关机或者强制终端关机。
 
漏洞定时扫描支持信创和linux:
 当前已经可以支持信创和Linux系统的漏洞扫描功能,Linux不支持对扫描结果处置策略的配置。
应用管控黑名单: 1、帮助客户限制盗版、恶意软件使用,加强客户正版软件配置规范建设,事前拦截终端进程运行,事中可结束终端应用的运行,事后可审计进程管控日志。
2、通过友商进程管控功能竞争分析得出结论,友商管控策略普遍添加规则繁琐,客户配置难度高,客户期望目的为对应用管控,一个应用可能有若干进程,配置进程管控策略易遗漏,EDR可提升配置策略效率,复用AC的终端应用识别规则,解放管理员,管理员无需在手工对单个exe做管控,来体现差异化竞争价值。
办公网净网设计优化

流氓软件治理在终端首页“安全中心”中存在入口,附带“NEW”新功能标识,可提供广告弹窗、问题软件的扫描与拦截功能,为您打造清净且放心的绿色办公环境

信创:

功能概述/功能价值 功能详细介绍
信创应用与漏洞检测能力与终端漏洞修复

1、信创安全中漏洞风险比信创或其他威胁更突出,安全人员需要能有针对信创漏洞的完整解决方案,帮助识别当前环境的漏洞情况,在被漏洞攻击时可有效发现,并提供防御或加固的手段,避免出现重大的风险出现。

2、通过EDR检测国产化终端存在的漏洞。根据统信、麒麟官方通告转换为漏洞修复规则文件,终端结合漏洞修复规则文件修复对应漏洞信息,并以漏洞维度通过EDR下发修复策略,终端无感知安装补丁进行漏洞修复,打造对漏洞的闭环防护能力
国产化终端新增磁盘加密模式,磁盘加密后的使用体验优化

1、增强原有产品差异化功能在金融行业适配性和竞争力,满足已有KA客户客户需求,打磨竞争力。磁盘加密支持三种不同的加密模式方便用户在不同场景下的应用,合规场景下支持SM4加密模式,合规与性能兼顾场景支持混合加密模式,性能优先场景下支持AES加密模式。

2、解决磁盘加密后,在文件读写时,出现磁盘IO持续高,且会卡慢卡顿,影响用户办公使用的问题。通过对SM4算法进行优化,提升用户使用体验。
信创下真替真用的资产盘点与统计
能够给客户节省大量的信创下真替真用的管理成本和精力,满足有信创终端安全需求的大量KA和泛KA客户群体,帮助客户快速且便捷地管理信创产品,便于分析终端使用是否满足真替真用的政策要求,提升用户体验,凸显我们在信创场景的资产识别和梳理能力。
信创版本需要支持与云安全内建3.0对接
支撑信创对接云内建版本的需求,支持云安全环境搭建信创环境

轻量化:

功能概述/功能价值 功能详细介绍
智适应扫描与检测
 1、用户使用智适应扫描模式,终端运行病毒扫描所占用的CPU会根据终端系统整体CPU使用情况实时调整;
2、通过对自身杀毒进程的资源占用适当的时机进行限制,同时在适当的时机充分利用系统资源,能够提升产品质量。
终端支持bypass机制

1、终端开启bypass功能后,能自动实时检测终端环境资源(CPU/内存/负载)消耗情况,当系统整体资源占用超过阈值时会自动禁用EDR终端相关功能,当系统整体资源占用低于阈值时自动恢复EDR终端功能。

2、避免因EDR自身的问题导致的客户环境事故,影响客户业务的正常运行。

安装部署与升级:

功能概述/功能价值 功能详细介绍
P2P方式的升级部署信创终端,并可设置优先CDN下载

1、在本地部署多分支的场景下,当用户开启P2P之后可以选择优先从深信服服务器的CDN上下载资源进行部署与升级操作。终端能优先从CDN下载组件包进行升级而不是从mgr上下载 ,从而减少mgr的压力。

2、降低信创agent部署更新下的资源消耗,降低产品更替、安装部署场景下的不满感。可以解决大批量安装部署、更新占用业务带宽、安装部署缓慢的问题。
信创终端在线安装器
管理员通过配置客户端集成规避了重复推端,用户只需要安装1次就可以安装完所需安装的深信服客户端(aTrust、EDRAC国产化AIO需求中,需要实现联动部署功能,但国产化原安装包全部放置在CDN上,没法完成。因此参考linux安装方式,新增国产化在线安装包逻辑。简便化国产化终端的部署,不需要客户到CDN上下载完整包,部署MGR后直接在MGR上下载安装包后部署即可。

防勒索:

功能概述/功能价值 功能详细介绍
【防勒索】-勒索动态举证客户感知

1、日常运维场景:运维人员可以快速精准处置勒索事件,对于可疑的勒索行为,也可以更清晰地了解该勒索行为的来龙去脉,并及时采取针对性的处置和加固措施,降低安全运维成本;

2、事后价值汇报:在勒索事件发生后,有真实有效的举证材料向上级展示其如何防住勒索事件,证明工作价值;

RDP二次认证可设置关闭“7天之内免输入”

面向对安全性要求较高的客户,在rdp二次验证场景下,能够充分保障可信验证,不会因为配置不合理而导致业务系统被勒索,能够提升安全性,降低因RDP二次认证而导致的失陷率

勒索文件行为检测技术

可实现误报/漏报闭环,帮助客户可响应问题,减少对业务影响周期

RDP远程二次认证拦截后的事件上报

RDP远程二次认拦截功能后,有相应的日志以及开发配置上报至云脑(包含:mgr勒索防护页面的rdp策略信息、终端rdp二次认证的日志记录、rdp认证弹窗覆盖Windows server桌面时新创建的进程信息),安全运营团队可分析客户真实拦截情况,提前给客户勒索风险预警。 

资产管理:

功能概述/功能价值 功能详细介绍
终端离线时长统计
能统计离线时间且能直接筛选、组合其他条件筛选,可以帮助客户快速精准定位到离线时长过长的终端,方便客户统一统计和查看。
资产指纹信息补充 -注册表
用户正常运营流程会根据重点资产进行排查安全威胁,新增终端侧终端注册表资产详细信息展示。

数据上报:

功能概述/功能价值 功能详细介绍
新增支持kafka日志转发
支持终端资产日志、高级威胁行为采集日志,等通过KAFKA进行转发
syslog支持上报高级威胁告警
高端客户SOC对接分析场景下,保障用户的对接的日志全面性,便于用户去做上层告警分析聚合,默认勾选高级威胁日志上传
Syslog备份新增全量模式与支持传输加密

1、syslog的全量模式主要适配SOC对接场景,丰富了安全威胁日志字段,SOC可以基于syslog对接的安全威胁日志字段进行上下文关联分析。

2、对客户 syslog 进行传输过程中的日志加密,保障客户数据传输更安全
 
新增支持ZTA日志上报
 
支持与zta建立联动后,可以上报安全日志

SASE-EDR:

功能概述/功能价值 功能详细介绍
新增Sase EDR日志上报SIP
支持Sase EDRSIP建立联动后,可以上报安全日志+资产日志
Sase-EDR账号管理三权分立
新增云图子账号权限管理功能,除云图主账号以超级管理员权限登录Sase-EDR外,云图子账号统一默认为审计管理员权限,超级管理员可在账号管理中修改不同子账号的权限,极大程度便于Sase-EDR分权管理

授权优化:

功能概述/功能价值

 功能详细介绍
新能力试用引流

1、新能力试用引流:基础版本授权的用户,可以在购买功能之前先试用效果,配合后续的授权订阅制的改动促进用户从试用到订阅的转化。

2、授权将改成基础套餐+模块订阅的模式,为的是新功能不再贴合现有版本让老客户不购买直接使用,而是可以作为新的模块来订阅,由此保障新的投入能直接产生效益。同时,模块的拆解在一定的程度上能够降低基础套餐的价格区间,在和友商陷入价格竞争的时候也有一定的优势。但是如何促进老客户增购新的订阅模块需要提供试用的授权让客户在购买前就能体验UES的订阅功能模块,从而达成试用增购的效果。

其它:

功能概述/功能价值

 功能详细介绍
微信远程处置威胁事件
EDR已经联动云图的情况下,可按照客户对安全事件的关注情况在平台内配置需要微信告警的威胁事件,并且提供直接在微信远程处置的能力,及时遏制安全事件蔓延,大幅提升安全事件闭环的效率
云图定期微信推送EDR报表
云图可导出EDR报表通过自身微信推送当EDR上报云图风险报表。便于随时了解终端风险
防止sqlserver爆破安装anydesk
针对sqlsever爆破攻击场景,用户看到告警信息可以及时响应,提升整体防护效果,降低失陷率
自定义ioc排除策略新增适用范围
部分场景下,黑白名单控制比较严格,需要控制到较细颗粒度生效,因此需支持设置适用范围可自定义
SIP调用EDR可对rootkit查杀
增强威胁的溯源与分级处置能力,为客户打造网端安全效果一致,落地到端的威胁均可检测和处置的体验
容器融合
用户可以通过一个账号完成全部终端管控,避免多次登录,提升运维效率
内存马检测
内存马检测可以通过监控系统内存中的进程和线程,检测是否存在异常的内存操作行为,如注入恶意代码、修改系统进程等

EDR3.7.2

功能概述/功能价值 功能详细介绍
信创终端和非信创终端统管

客户环境同时有国产化终端和非国产化终端场景,历史版本需要分别部署国产化管理端和非国产化管理端分别管理国产化终端和非国产化终端,增加了运维管理成本。

此版本支持一个管理端同时接入管理国产化终端和非国产化终端(Windows、Linux和苹果电脑),减轻管理员运维管理负担。
新增信创操作系统漏洞扫描

新增支持国产化操作系统的漏洞扫描,用户可以通过下发漏洞扫描任务进行国产化终端的漏洞扫描,扫描后可以获知对应终端是否存在漏洞,并提供对应的漏洞修补建议。
新增国产系统磁盘加密功能
为防止磁盘文件泄密,新增提供磁盘加解密功能,能对国产系统的磁盘下发加解密、定时检测磁盘加密状态、磁盘信息展示的功能,暂时只支持统信(桌面版)系统和银河麒麟(桌面版)
新增支持通过LDAP域账号登录管理端
管理平台新增LDAP登录功能,用户可在账号管理模块进行LDAP同步域账号,分配对应分组的权限,并通过域账号登录进行对应分组的安全、运维、审计工作。
离线场景下可以卸载客户端
提供离线终端卸载的解决方案,管理员在管理平台下载Agent免密卸载工具,卸载该管理平台管辖的终端。
新增USB接入自动查杀能力
支持USB设备接入后自动查杀,为您提供安全接入、控制风险扩散的能力。
新增终端硬件变更审计功能
支持审计终端硬件资产变更记录,同时可确认企业异常硬件资产变更事件,帮助您更好掌控硬件变更的风险。
新增管理平台自动下载新版本更新包
管理平台在联网的状态下能自动在线下载最新安装包,您仅需一键确认便可完成升级,从而告别手动导入上传升级包的方式,更快更简单地获取最新能力。
根据md5添加黑名单支持仅告警不处置动作
历史版本添加黑名单的处置动作为直接隔离,在某场景下只想监控某些文件,并不想直接拦截,此版本支持设置黑名单的处置动作为仅告警不处置
 
云鉴2.0 -新增沙箱行为概要
  
客户在分析处置阶段,往往面临大量告警,客户可以查看云鉴详情的沙箱行为概要,来辅助解决日常运维场景中无法自动处置的事件,以及客户无法分析的场景,帮助客户完成分析、处置、闭环。提供可分析可判断的依据,帮助客户完成闭环。
 
 
支持按分组导出或订阅报告

 客户更方便的导出自己指定的分组,导出内容与自己所选的分组一致, 能够按不同的设置分发给不同的邮件
微隔离策略支持先配置再保存下发
 
微隔离策略可以批量配置策略后进行统一保存再下发,可节省客户移动策略中间等待下发的时间,还可以记住上次的操作记录,方便用户继续对策略进行变更操作。 
 
EDR管理端ISO/OVA安装镜像底层操作系统由Centos切换至Ubuntu
 

EDR3.5.36

功能概述/功能价值 功能详细介绍

杀毒扫描智适应模式

此版本将杀毒扫描默认模式由“均衡”模式改成“智适应”模式。“智适应”模式根据终端CPU实时使用情况进行动态调节(CPU调节区间5%-70%),解决了终端CPU空闲时充分利用CPU提高扫描速度、终端CPU繁忙时降低杀毒CPU消耗保障终端业务不卡顿。

国产化终端和非国产化终端统管

客户环境同时有国产化终端和非国产化终端场景,历史版本需要分别部署国产化管理端和非国产化管理端分别管理国产化终端和非国产化终端,增加了运维管理成本。

此版本支持一个管理端同时接入管理国产化终端和非国产化终端(Windows、Linux和苹果电脑),减轻管理员运维管理负担。

品牌自定义

用户可以根据需求自定义产品品牌名称和品牌LOGO。

终端全量包安装

客户端安装时需要先从管理端下载组件。在集团多分支场景中,管理端部署在集团、客户端安装时需要通过vpn或专线接入集团管理端下载组件,导致下载占用专线带宽、安装过程慢。此版本提供终端全量安装包,使用终端全量安装包安装时可以直接安装、无需从管理端下载组件。

终端P2P安装与升级

同网段内未安装Agent的终端或未升级的Agent终端支持从多个已经安装Agent的终端或已经升级的Agent终端下载组件完成自身Agent安装或升级。解决原有Agent安装或升级从EDR管理端单一通道下载组件安装慢、占用管理端通信带宽问题。

手机动态口令认证

登录EDR管理端支持用户名密码+手机动态令牌认证双因素认证。

终端开发环境识别、降低开发环境误报

 

由于开发环境重要性及特殊性,存在大量的编译无签名文件,这些文件很容易引起杀毒软件误报,影响终端开发人员正常工作、甚至不愿意安装杀毒软件带来极大安全隐患。此版本EDR针对开发环境适配、降低开发环境误报,保护开发环境安全。

其它优化
  •  优化查杀扫描速度和宏病毒修复
  •  勒索防护效果优化、降低勒索诱饵误报
  •  EDR支持按照分组对终端风险报告进行导出
  •  控制台页面体验风格优化,导航菜单及配色优化