门外汉的福音!摘下EDR的面纱,看是不是倾国倾城?
  

adds 发表于 2019-1-11 14:34

本帖最后由 adds 于 2019-7-30 16:14 编辑

    EDR是啥?
    中文名:终端检测响应平台
    英文名:Endpoint Detection and Response

    明白了吗?
    不明白。
    一句话让没听说过的人都知道EDR是啥:EDR是一款下一代终端安全产品
    深信服做杀软件?岂不是以已之短攻人之长?
    其优势点如下:
1、业务域的微隔离技术,解决病毒东西向、横向移动和内网扩散和处置;
2、完备的PC主机,云主机一体化安全防护,兼容性稳定性优于业界,轻量级插件实现最低消耗;
3、人工智能和多引擎离线查杀能力,高效解决未知病毒防护,不上报用户数据,离线检测率业界领先;
4、端网联动响应和处置,流行病毒全网威胁定位,闭环联动能力;
5、对未知威胁和新病毒的信息支援体系和安全服务体系,7*24小时专家在线和专家驻厂服务;
    科普完产品知识,再来给大家详细讲讲如何部署吧!

    一、离线部署
    版本:3.2.8R1    --当前最新版本
    EDR分为两部分,一个是平台管理MGR,一个是终端插件agent。

    1、离线安装
    a.环境准备
    EDR的MGR只支持Ubuntu(Ubuntu16或以上)和CentOS(CentOS7或以上)。

    b.下载离线安装包
    一共2个文件,manager_deploy.sh和edr3.2.8_offline_20181112213846_Build453.pkg。

    850115c35defac182d.png

   c.使用shell工具上传这两个文件到Linux服务器。

   d.给安装脚本文件添加执行权限
    chmod u+x manager_deploy.sh

    26575c35e4eb9122d.png

   e.CentOS系统默认拒绝所有端口访问。

   需要开放8083、443、54120端口。
   8083是端点安全agent与管理平台Mgr平台的业务端口。
   54120是端点安全agent与管理平台Mgr平台的管理端口。
   443是MGR平台的登录端口。
   输入命令:
    firewall-cmd --permanent --zone=public --add-port=8083/tcp
    firewall-cmd --permanent --zone=public --add-port=54120/tcp
    firewall-cmd --permanent --zone=public --add-port=443/tcp
    firewall-cmd --reload

    678545c35e5a377474.png

   f.执行安装程
   命令:./home/manager_deploy.sh /home/edr3.2.8_offlin_20181112213846_Bulid453.pkg 121.46.26.113

    485225c35e6481a542.png

  安装成功:

   30425c35e6a57a452.png

   2、MGR管理平台
   a.登录管理平台
   虚拟机的IP地址就是MGR管理平台的地址。
    CentOS系统使用ip addr查看下虚拟机IP。
    102565c370cf626902.png

   IP前面加上https即可。
    365485c370d10cf48f.png

   账号:admin
   密码:admin

   b.首页

    200125c370d5d58646.png

   c.功能项
   1>终端管理
   对终端和服务器进行分组;匹配安全策略,包括:杀毒、僵尸网络、Webshell检测、口令暴力破解等功能。

    662875c370da6659e7.png

   【终端管理-安全策略】
    病毒查杀:

    885585c370ec8777a7.png

     僵尸网络、Webshell、口令暴力破解:

    93505c370ee44d90c.png

   2>微隔离
   将终端从网络中隔离。
   里面几个子菜单项就是像文字描述的那样。

    959065c370f8a940eb.png

   3>威胁检测
   通过平台对终端下发策略,查杀病毒。

    105595c370fe9237ec.png

   4>响应中心
   根据终端的安全级别进行联动。EDR联动目前支持AC、SIP及AF设备。
  AC要求是12.0.17以上,AF要求是8.0.6及以上版本,SIP要求是3.0.2版本及以上,EDR要求是3.2.3版本及以上。

    398545c371084f13b8.png

   5>日志报表
   看日志的。字面意思

    571805c375192deb49.png

   6>系统管理
   管理,各种常用或不常用的功能。

    358675c3751b9940dc.png


   二、OVA导入

   支持虚拟机导入的方式配置MGR平台。支持VMware和aCloud平台。

    OVA文件下载:
    3.2.8ova正式版本
    链接:https://pan.baidu.com/s/1X9n73vA5xvJCBw88S2T2oA
    提取码:5q5x

   1、VMware导入
    【文件-打开】,选择下载好的文件。

      945915c3825749e269.png

    OVA文件是基于CentOS 7.X的版本。

    2、开机
    默认账号密码为:root/root
    EDR3.2.9r1版本之前的OVA模版的Linux默认帐号密码是:root/root
   EDR3.2.9r1版本的OVA模版的Linux默认帐号密码是:root/edr@sangfor
  CSSP里面edr的OVA模版的Linux默认帐号密码是:root/sangfor123

    951915c38260297591.png

   3、修改IP
   虚拟机有两块网卡, eth0:10.251.251.251;eth1:无IP。
   使用ip addr命令查看网卡信息。

    828905c38281b6285a.png

   使用vi /etc/sysconfig/network-scripts/ifcfg-eth0修改网卡配置信息
FkQwYr9bZGErQHC2S-BX8dQzfdhN.png

         修改为访问配置的EDR平台IP地址
   然后使用:/etc/init.d/network restart命令重启网络。
   或使用service network restart命令。

   使用vi /etc/resolv.config修改DNS

    480095c38338cbe799.png

  使用https://10.251.251.251地址进行登录

   608865c3833cd88eef.png

   登录成功。

  aCloud在【虚拟机-新增】界面点击导入虚拟机进行操作。

   971285c38343519be6.png

  配置方法与VMware相同,修改IP地址即可使用。

   三、agent安装
   agent是安装在虚拟机或物理机上。
   支持主流的操作系统。像客户机,如XP、win7、win8、win10,服务器,如Server03、Server08等等。基本上能遇到的都支持。
   1、agent下载方法
   a.登录界面下载
    413015c3c7f4bcc69c.png

   点击“windows”下载Windows的agent,Linux也如些。

   b.控制台下载
   【系统管理-终端部署】
    98465c3c7f7522e89.png

   下载哪个平台点哪个。

   2、安装
    双击exe程序。按步骤安装。
    735795c3c7f96488de.png

   安装完成。agent首页。
    405105c3c7fab0664d.png

   功能如图所示:杀毒,杀木马。

  四、优势
   返回开篇的问题,深信服的杀软和其他厂商的有什么区别?
   感觉最大的区别就是:协同响应。
   可通过MGR、SIP、AF、AC下发安全策略,及时发现风险,将风险传播的范围压缩到最小。

   如果还有疑问,社区搜索一下,你就知道。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

andy_AA...

本周建议达人

新手25477...

本周提问达人

#厉害了! 我的技术等级已提升#