本帖最后由 李云凯 于 2022-6-22 16:12 编辑
edr看起来简单,但是细节方面有需要需要大家去注意。这里给各位兄弟提几个注意点
1.edr分三种,国产化edr,正常edr,sase edr,这里可以把正常edr与sase edr同等看待。因为作用是一样的
2.国产化edr目前只是针对国内自研的操作系统,例如鲲鹏,银河麒麟等等
3.正常edr与sase edr只是授权上不同,正常的在本地局域网授权(与该局域网是否可连通外网无关,仅对局域网进行授权,这优点也是缺点),
sase edr授权pc需要连接到云端的服务器(通过云端服务器进行授权,一般情况下电脑能上网就能授权,这是优点,缺点是无法对隔离网的终端进行授权安装)
4.edr是对操作系统进行授权的,但是edr是只能有一个user操作该edr,举个例子,一个服务器安装了一个edr,其中有多名员工使用不同账号登录该服务器,会出现什么样的情况呢,:占用一个授权,但是只有一个员工的账号可以操作该edr,另外一个员工(使用不同服务器账号)无法启动edr(但是edr还是运行的,只是无权操作)
5.很多时候影响安装的不一定是操作系统,在列表中的是可以安装,但并不是一定能安装。不在列表中的也有可能能安装上。
6.安装的时候尽量关闭其他的软件,尤其是杀毒类的,360,ip guard等等,之前就遇到过。启动的时候无法安装,对于一些强powershell的软件,例如:额,这里名字忘了,遇到可能性还是有的,建议电脑/服务器,关机,使用安全模式开机进行安装。
7对于安装不上edr的电脑或者服务器,我们可以推荐客户使用专杀工具,wiki.sec.sangfor.com.cn,这里去下载,效果之前测试过。应该是还不错的,不会比edr差太多,只是机制上是单次不循环的扫描智能检测。应急是莫得问题的。
8.安装本地edr的时候,能镜像化部署就镜像化部署,如果用脚本部署,就比较费劲,其中遇到一个中途版本的时候,还会出现授权异常的现象需要进行修复。比较耗时间。 9.edr可以进行策略下发,但是电脑端的agent也是可以直接执行查杀的。本地执行>策略执行。若本地正在有查杀任务进行,则mgr下发到agent的命令不会将其中断。 10.edr最常见的就是终端的下线,其中的原因有很多,不过百分之80都是网络问题,少部分是进程开机时刻未拉起导致通信异常。这里为了保障效率,建议大家安装agent之前,一定要先设置一个防止卸载以及退出的命令,以便后续的一个卸载操作。 11.若mgr是安装在虚拟机中的,若客户需要更换物理服务器,这个时候需要搭建新的mgr-在新服务器上,保持新旧版本一致,ip地址一致,即可保证mgr的替换(先和销售400保障一下)。这里也有一个注意的点,下载下来的安装包,名字强烈不建议修改,修改了可能就失效了。上面的名字其实就是服务器的地址,安装时也是和这个域名进行通信获取里面的授权 12.edr联动篇,这里把edr分为sase edr与本地部署edr。sase edr也叫做云edr,云edr支持与AF(网关出口)进行联动,与本地AC联动是不行的(理论上是和公网设备能进行联动,但是网关部署的Ac没有去联动做过,因为比较少),本地edr,支持与AF,AC进行联动,这个联动的话也是要求mgr与各设备能正常通信,如果通信失败那就会断开联动,一般采购了安全态势感知(sip)的客户咱们建议给客户部署本地edr,一个是能加强数据风险识别(联动后),另外一个就是只有本地的edr才能与sip联动(理论上把sip映射到出去也可以做到与云edr的联动,但是这样不安全,也不建议做。目前还没有做过如此测试。),联动云端edr的时候很多时候新手容易把自义定的名称作为联动的账号名称,其实是系统生成的那个才是真正的账号,这里大家注意一下(云图上) 13.edr极端篇,客户有北京上海两个公司,目前计划在公司北京部署edr,要求都能实现防护。若只部署一个edr-mgr,则需要将该ip映射出去,此时上海就可以通过这个公网ip+端口进行访问,但是这样做不安全。且占用实际带宽。建议方法一,北京上海分别部署mgr管理端,区分管理。建议方法二:北京上海两地打通ipsec vpn通道。如此可以避免端口的外放,而且ipsec vpn也是可以设置部分放通可访问的数据,入站策略+出站策略。这个也是比较稳妥的。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-6-22 11:54
技术员3级 
