旁路部署AC+EDR 准入审计杀毒方案案例

【需求背景】

纯内网环境，客户需要在保证终端安全的前提下对访问内网服务的pc做准入限制，且需要审计pc访问的业务。

客户所有访问业务的流量都会经过服务器的汇聚交换机且ac性能不足无法网桥部署在内网中，所以旁挂在服务器的汇聚交换机上

【配置流程】

1.AC旁路部署,配置管理口和镜像口以及监控网段，服务器网段

2.针对内网pc网段配置portal认证策略

3.配置联动edr

4.配置终端检查规则

5.配置终端检查策略

适用对象选择要匹配上该策略的用户

6.配置业务审计策略

ps：若客户需审计https的业务，需要配置ssl内容识别

7.edr上配置定期对pc进行杀毒

【测试效果】

PC未安装准入插件和edr，首先会提示安装准入插件

安装准入插件之后匹配杀软的准入规则，访问页面自动跳转到edr的下载地址

edr安装完成后正常访问内网的业务系统

通过内置数据中心查看访问业务情况：

PS:有时候可能会出现pc没有跳出准入终端能够直接上网的情况，这个时候就需要去在线用户列表里面看看这个终端是否正常识别：

显示正在识别，可能认为成不支持运行准入系统的终端，默认允许上网

只有正常识别为windows后才能匹配准入规则（识别效果在13.0.8版本有很大的优化）

感谢楼主的分享，楼主针对联动的配置和效果都有相关截图过程很详细，解决了edr分发的问题，业务审计方面期待楼主加入AC结合ITM进行审计分析的过程，让方案更加完整。

优秀，要审计https，可以装插件满足~

打卡学习

学到了。优秀

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

就我起的早审计杀毒方案学习

感谢分享

支持支持

支持支持

感谢分享，学习了。