“当前已有100+用户参与分享,共计发放奖励60000+“
背景:近日某政企集团和某公司再续前缘,要上EDR做终端保护,蛮高兴可以来测试一下,展现一下edr的一个功能点!参照社区的POC测试文档,基本上可以很大一部分展示出EDR的各种特色:文件实时防护、终端杀毒、微隔离、漏扫……
第一步:搭建环境 POC中理想是3台windowsPC、1台winserver、1台ubuntu 可以囊括终端与服务器平台 可以简单一点,都划在同一网段中 这边EDR的MGR也是搭建在服务器中的,具体步骤请参照手册
第二步:agent安装 确保所有的终端都能与EDR进行通信,通过浏览器可以访问(linux有图形化界面的也可以)EDR,在管理中下载agent包到本地安装。 linux的可以使用命令,方式和安装vmware tool类似,较于图形化更简便; 安装完后能在MGR上看到终端的安装情况,建议将环境中的测试机分组(便于策略下发)
第三步:策略下发 ①病毒查杀(加壳查杀) 客户允许的情况下,可以结合病毒样本来做功能展示(一定要注意隔离业务环境!!!一定!!而且客户知道风险的情况下测试,有问题请找400协助)
需要病毒样本、加壳工具
在终端管理——策略中心中,将病毒查杀功能全开 关闭文件实时防护(防止自动检测出病毒,无法到扫描的那步)在终端管理——策略中心——实时防护中关闭功能
将病毒压缩包解压(有密码的压缩包解压后才可被查杀),右键使用edr扫描即可 现象出后,加壳,再扫描一次,现象出
②微隔离 这个说实话不太好测,因为以前版本都是默认全拒绝,一旦忘记上permit any基本上就都挂了。现在新版本貌似是改善了。
并且虚拟机之间的端口开放效果都不太好,本人在此没有特别好的按照POC的测试指导,使用的是其他的开放的端口进行管控来展示功能。
③漏扫+打补丁 路径:终端管理——策略中心——漏洞扫描,先对配置进行一个恢复默认,确保功能展示前漏洞不会被自动修复了
路径:威胁检测——终端漏洞查补——添加漏洞扫描任务,选择终端时要确认需要漏扫的终端都是在线状态(打勾栏正常不是灰色)
如果终端不在线,需要手动唤醒下终端,或者手动启用客户端,有问题的建议直接卸载重装(或者检查通信情况,ping、telnet)
漏扫完成后,可以点击全部漏洞进行漏洞的查看,并且进行修复
启用“强制重启修复后立即重启”需要和客户确认一下,修复过程时间比较长,可以同时进行其他的测试项目
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-9-14 14:42
发表于 2020-9-9 17:21
技术员2级 
