门外汉的福音!摘下EDR的面纱,看是不是倾国倾城?
  

adds Lv23发表于 2019-1-11 14:34

    EDR是啥?
    中文名:终端检测响应平台
    英文名:Endpoint Detection and Response

    明白了吗?
    不明白。
    一句话让没听说过的人都知道EDR是啥:EDR是一款下一代终端安全产品
    深信服做杀软件?岂不是以已之短攻人之长?
    其优势点如下:
1、业务域的微隔离技术,解决病毒东西向、横向移动和内网扩散和处置;
2、完备的PC主机,云主机一体化安全防护,兼容性稳定性优于业界,轻量级插件实现最低消耗;
3、人工智能和多引擎离线查杀能力,高效解决未知病毒防护,不上报用户数据,离线检测率业界领先;
4、端网联动响应和处置,流行病毒全网威胁定位,闭环联动能力;
5、对未知威胁和新病毒的信息支援体系和安全服务体系,7*24小时专家在线和专家驻厂服务;
    科普完产品知识,再来给大家详细讲讲如何部署吧!

    一、离线部署
    版本:3.2.8R1    --当前最新版本
    EDR分为两部分,一个是平台管理MGR,一个是终端插件agent。

    1、离线安装
    a.环境准备
    EDR的MGR只支持Ubuntu(Ubuntu16或以上)和CentOS(CentOS7或以上)。

    b.下载离线安装包
    一共2个文件,manager_deploy.sh和edr3.2.8_offline_20181112213846_Build453.pkg。

    850115c35defac182d.png

   c.使用shell工具上传这两个文件到Linux服务器。

   d.给安装脚本文件添加执行权限
    chmod u+x manager_deploy.sh

    26575c35e4eb9122d.png

   e.CentOS系统默认拒绝所有端口访问。

   需要开放8083、443、54120端口。
   8083是端点安全agent与管理平台Mgr平台的业务端口。
   54120是端点安全agent与管理平台Mgr平台的管理端口。
   443是MGR平台的登录端口。
   输入命令:
    firewall-cmd --permanent --zone=public --add-port=8083/tcp
    firewall-cmd --permanent --zone=public --add-port=54120/tcp
    firewall-cmd --permanent --zone=public --add-port=443/tcp
    firewall-cmd --reload

    678545c35e5a377474.png

   f.执行安装程
   命令:./home/manager_deploy.sh /home/edr3.2.8_offlin_20181112213846_Bulid453.pkg 121.46.26.113

    485225c35e6481a542.png

  安装成功:

   30425c35e6a57a452.png

   2、MGR管理平台
   a.登录管理平台
   虚拟机的IP地址就是MGR管理平台的地址。
    CentOS系统使用ip addr查看下虚拟机IP。
    102565c370cf626902.png

   IP前面加上https即可。
    365485c370d10cf48f.png

   账号:admin
   密码:admin

   b.首页

    200125c370d5d58646.png

   c.功能项
   1>终端管理
   对终端和服务器进行分组;匹配安全策略,包括:杀毒、僵尸网络、Webshell检测、口令暴力破解等功能。

    662875c370da6659e7.png

   【终端管理-安全策略】
    病毒查杀:

    885585c370ec8777a7.png

     僵尸网络、Webshell、口令暴力破解:

    93505c370ee44d90c.png

   2>微隔离
   将终端从网络中隔离。
   里面几个子菜单项就是像文字描述的那样。

    959065c370f8a940eb.png

   3>威胁检测
   通过平台对终端下发策略,查杀病毒。

    105595c370fe9237ec.png

   4>响应中心
   根据终端的安全级别进行联动。EDR联动目前支持AC、SIP及AF设备。
  AC要求是12.0.17以上,AF要求是8.0.6及以上版本,SIP要求是3.0.2版本及以上,EDR要求是3.2.3版本及以上。

    398545c371084f13b8.png

   5>日志报表
   看日志的。字面意思

    571805c375192deb49.png

   6>系统管理
   管理,各种常用或不常用的功能。

    358675c3751b9940dc.png


   二、OVA导入

   支持虚拟机导入的方式配置MGR平台。支持VMware和aCloud平台。

    OVA文件下载:
    3.2.8ova正式版本
    链接:https://pan.baidu.com/s/1X9n73vA5xvJCBw88S2T2oA
    提取码:5q5x

   1、VMware导入
    【文件-打开】,选择下载好的文件。

      945915c3825749e269.png

    OVA文件是基于CentOS 7.X的版本。

    2、开机
    默认账号密码为:root/root

    951915c38260297591.png

   3、修改IP
   虚拟机有两块网卡, eth0:10.251.251.251;eth1:无IP。
   使用ip addr命令查看网卡信息。

    828905c38281b6285a.png

   使用vi /etc/sysconfig/network-scripts/ifcfg-eth0修改网卡配置信息
FkQwYr9bZGErQHC2S-BX8dQzfdhN.png

         修改为访问配置的EDR平台IP地址
   然后使用:/etc/init.d/network restart命令重启网络。
   或使用service network restart命令。

   使用vi /etc/resolv.config修改DNS

    480095c38338cbe799.png

  使用https://10.251.251.251地址进行登录

   608865c3833cd88eef.png

   登录成功。

  aCloud在【虚拟机-新增】界面点击导入虚拟机进行操作。

   971285c38343519be6.png

  配置方法与VMware相同,修改IP地址即可使用。

   三、agent安装
   agent是安装在虚拟机或物理机上。
   支持主流的操作系统。像客户机,如XP、win7、win8、win10,服务器,如Server03、Server08等等。基本上能遇到的都支持。
   1、agent下载方法
   a.登录界面下载
    413015c3c7f4bcc69c.png

   点击“windows”下载Windows的agent,Linux也如些。

   b.控制台下载
   【系统管理-终端部署】
    98465c3c7f7522e89.png

   下载哪个平台点哪个。

   2、安装
    双击exe程序。按步骤安装。
    735795c3c7f96488de.png

   安装完成。agent首页。
    405105c3c7fab0664d.png

   功能如图所示:杀毒,杀木马。

  四、优势
   返回开篇的问题,深信服的杀软和其他厂商的有什么区别?
   感觉最大的区别就是:协同响应。
   可通过MGR、SIP、AF、AC下发安全策略,及时发现风险,将风险传播的范围压缩到最小。

   如果还有疑问,社区搜索一下,你就知道。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

十一。 Lv4发表于 2019-1-11 15:29
  
已收藏 EDR出来之后还没碰过 以后肯定用得上
天一蓝去看海 Lv7发表于 2019-1-11 15:30
  
学习了,很好
在你的全世界耍过 Lv6发表于 2019-1-11 15:31
  
老哥非常稳,很详细!一看这么骚气的标题,第一个想到的作者就是你
厌児 Lv11发表于 2019-1-14 14:25
  
感谢楼主分享 学习中
Chen_Dao Lv4发表于 2019-1-14 15:02
  
差了一步  要关个进程
庄稼人 Lv3发表于 2019-1-14 15:36
  
这说的有问题,最大的不同是轻客户端重服务器端吧,协同响应这回事只能算特点吧,毕竟客户可能只买了EDR和超融合,没有AC和AC以及安全感知这些帮手,EDR依然可以搞定日常防护~~猪是这么认为的
新手280409 Lv2发表于 2019-1-14 17:15
  
听起来很牛逼
大white Lv4发表于 2019-1-14 17:26
  
我这采购了几个edr的授权,用了一下感觉还行。
首先安装的终端服务器有配置要求的,4核8G。我拿虚机装的管理后台。
管理后台安装使用的是ova导入,修改eth1的IP,然后通过https来访问。客观的讲,用ova的方式安装更傻瓜也更方便。省的你还要先搭一个centos的系统,然后再一步步的搭环境。
使用上面来说,主要用的就是威胁检测,威胁检测说白了就是手动杀毒和定时杀毒。
微隔离这个功能看起来挺不错的,通过指定策略进行特定隔离。不过我的业务场景没那么细,暂时用不上。
响应中心功能,我现在内网杀不出来毒,每次点开都是空白,除非哪天爆发个大规模病毒袭击,可能用下里面的威胁定位先定位下,再通过运维功能下发个脚本。
edr很有特色的一个功能就是可以联动响应,通过和其它安全产品连线形成立体化安全保护,一个产品发现问题自动联动其它产品开始防御。不过这个功能我一直没用上。我的AC等级太低,虽然联动了,但是用不了。AF的话,楼主说错了,要8.0.6才能联动,我是8.0.2,也不能联动的。不过好玩的是,AC可以用edr的管理后台里联动,但是AF要想和edr联动,得在AF里操作...
AC联动.png
后台.png
威胁检测.png
huo Lv7发表于 2019-1-15 09:00
  
agent能替代杀毒软件吗?如果不能旧电脑开机又运行杀毒又运行agent不知道会不会拖慢电脑。

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

小华子

本周建议达人

hell—12...

本周提问达人