【全文干货/多图预警】AF联动EDR之网端联动使用大揭秘~

对于上线已久的AF联动EDR，以及最近简化使用步骤的8.0.26网端联动订阅一体机版本，论坛已经有了很多用过的小伙伴~

但是网端联动的使用上，大大小小的功能，你是否都已经过了呢？

下面就为大家解密下两者的联系与区别~~

• 用户安全页面（联动情况展示的主入口）

  
  
  
  

• 失陷主机及EDR联动状态展示：

  
  

  
  
  
  

图标点亮即为该终端支持与EDR联动，表明该失陷主机可以通过联动EDR获取到恶意文件举证信息、并通过联动EDR进行处置。

      

• EDR联动恶意域名溯源举证信息展示：

  
  

  
  
  
  
  • 防火墙识别到恶意域名访问定位出失陷主机后，将域名传递到EDR，EDR将进程关联定位出已感染病毒的文件。（防火墙定位的域名、EDR定位的文件也会上报给安全云脑-云鉴进一步的判断，并对恶意文件打上标签）。     

    
    
    
    

      

• 从终端上报的信息看到主进程、子进程、释放的文件等终端产生的一系列动作进行举证，管理员可充分知晓终端执行的非法操作。

  
  

  
  
  
  

     

• 非法进程链展示：通过对进程进行溯源，将主进程释放子进程，子进程调用文件等行为进行细粒度展示。

  
  
  
  

      

• 云鉴文件举证：如果域名和文件是由云端识别的，通过点击域名和文件也可以直接跳转到云端的威胁情报平台展示详细的举证信息。

  
  
  
  

     

      

• 失陷主机处置：

  
  

  
  
  
  
  • 处置恶意文件：联动EDR处置病毒母文件及病毒运行后产生的所有子文件，对病毒文件进行清理；
  • 联动EDR查杀：当处置恶意文件后但AF仍记录到外发请求恶意域名访问时，通过该按钮执行EDR的快速扫描功能，完成对pc指定区域文件的扫描和查杀，对病毒进一步的清除；
  • 隔离主机：在上述操作都不能清楚病毒文件时，为了避免病毒继续请求恶意域名外联而带来安全风险，通过该功能将PC隔离，断开互联网

    
    

    
    
    
    

       解除隔离主机：当清理完成该PC的病毒程序后，可以恢复隔离，使PC可以正常访问互联网，保持其正常功能的使用；

        

        

• 自动处同域名置相关联的文件：访问过同一恶意域名关联到的所有主机、及其关联到的所有恶意文件再联动处理过一次之后，后续会自动处置中毒文件。

  
  
  
  

      

      

• 处置结果查看：

  
  

  
  
  
  

在“处理结果”界面，可以看到失陷主机的处置所有记录，帮助管理员完成处理记录的审计工作。

      

      

• 网端联动页面（EDR接入及功能设置页面）

  
  

  
  
  
  

• MGR接入（即EDR的中央管理平台）

  
  

  
  

  
  
  
  
  • 在网端联动页面，可以选择网端一体机EDR订阅服务接入（简称一体机，不再需要额外的服务器来部署EDR管理平台，日常使用有效提升运维效率）、云端管理平台接入（云图SaaS部署的MGR）、本地EDR管理平台接入（本地服务器部署的MGR）三种方式中的一种，将MGR接入到防火墙上，保障MGR可以和防火墙进行通讯。

    
    

    
    
    
    

• 接入前：

  
  

  
  

  
  
  
  

• 接入后：

  
  

  
  
  
  
  • 一体机

    
    

    
    

    
    
    
    

              

• 云图or本地MGR：

  
  
  
  

备注：EDR3.2.21版本后，如果要联动AF设备，需要在EDR的设置中开启允许联动

                  

• 终端部署（一体机独有）

  
  

  
  
  
  

选择终端与防火墙进行通讯的IP，生成对应的下载安装包：

• 管理员可以下载安装包到本地，再通过其他方式（如聊天软件发送、ftp服务器发送）指导PC用户进行安装
• 管理员可以复制下载地址（如https://66.66.77.1/web_mgr_install.php）后发送给其他员工，使员工自己下载EDR安装包并进行安装；
• 

  
  

  
  
  
  

• 终端防护策略配置（一体机独有）

  
  

  
  

  
  
  
  

将EDR 3.2.15版本的MGR部分功能集成到了AF界面，可以对已安装EDR的终端进行防护管控及杀毒策略的下发；

管理员不需要再跳转登录到MGR进行制定策略，可以直接在防火墙上配置，节约运维工作量；

• 联动终端管理

  
  

  
  
  
  

查看已安装EDR的PC以及客户端上EDR的在线状态，通过联动操作的次数来判断该主机是否已经失陷，从而对未隔离的失陷主机进行断网隔离，防止僵尸网络病毒横向扩散，不需要再跳转到用户安全页面就能完成操作。

      

• 联动操作日志查看

  
  

  
  
  
  

查看联动时，自动处置及手动处置病毒文件和进程的全部记录，确认病毒是否已经彻底清除，帮助管理员完成病毒查杀审计工作的记录；

      

• 终端机平台病毒库升级管理（一体机独有）

  
  

  
  
  
  

查看EDR平台病毒库的更新情况及每个端点EDR病毒库的更新情况，确认病毒库是否处于最新状态，保障每台安装EDR的PC或服务器都能拥有最新的病毒查杀和防御能力。

哇塞！这个联动得好好看看 好多细节的地方平时就能用到

感谢分享

非常详细明了，赞

感谢分享

真的是干货，实力杠杠的

溯源举证功能赞一个

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

总结得够全面的。这样的好贴应该多出几篇。