门外汉的福音！摘下EDR的面纱，看是不是倾国倾城？

    EDR是啥？

    中文名：终端检测响应平台

    英文名：Endpoint Detection and Response

    明白了吗？

    不明白。

    一句话让没听说过的人都知道EDR是啥：EDR是一款下一代终端安全产品

    某公司做杀软件？岂不是以已之短攻人之长？

    其优势点如下：

1、业务域的微隔离技术，解决病毒东西向、横向移动和内网扩散和处置；

2、完备的PC主机，云主机一体化安全防护，兼容性稳定性优于业界，轻量级插件实现最低消耗；

3、人工智能和多引擎离线查杀能力，高效解决未知病毒防护，不上报用户数据，离线检测率业界领先；

4、端网联动响应和处置，流行病毒全网威胁定位，闭环联动能力；

5、对未知威胁和新病毒的信息支援体系和安全服务体系，7*24小时专家在线和专家驻厂服务；

    科普完产品知识，再来给大家详细讲讲如何部署吧！

    一、离线部署

    版本：3.2.8R1    --当前最新版本

    EDR分为两部分，一个是平台管理MGR，一个是终端插件agent。

    1、离线安装

    a.环境准备

    EDR的MGR只支持Ubuntu（Ubuntu16或以上）和CentOS（CentOS7或以上）。

    b.下载离线安装包

    一共2个文件，manager_deploy.sh和edr3.2.8_offline_20181112213846_Build453.pkg。

   

   c.使用shell工具上传这两个文件到Linux服务器。

   d.给安装脚本文件添加执行权限

    chmod u+x manager_deploy.sh

   

   e.CentOS系统默认拒绝所有端口访问。

   需要开放8083、443、54120端口。

   8083是端点安全agent与管理平台Mgr平台的业务端口。

   54120是端点安全agent与管理平台Mgr平台的管理端口。

   443是MGR平台的登录端口。

   输入命令：

    firewall-cmd --permanent --zone=public --add-port=8083/tcp

    firewall-cmd --permanent --zone=public --add-port=54120/tcp

    firewall-cmd --permanent --zone=public --add-port=443/tcp

    firewall-cmd --reload

   

   f.执行安装程

   命令：./home/manager_deploy.sh /home/edr3.2.8_offlin_20181112213846_Bulid453.pkg 121.46.26.113

   

  安装成功：

  

   2、MGR管理平台

   a.登录管理平台

   虚拟机的IP地址就是MGR管理平台的地址。

    CentOS系统使用ip addr查看下虚拟机IP。

   

   IP前面加上https即可。

   

   账号：admin

   密码：admin

   b.首页

   

   c.功能项

   1>终端管理

   对终端和服务器进行分组；匹配安全策略，包括：杀毒、僵尸网络、Webshell检测、口令暴力破解等功能。

   

   【终端管理-安全策略】

    病毒查杀：

   

     僵尸网络、Webshell、口令暴力破解：

   

   2>微隔离

   将终端从网络中隔离。

   里面几个子菜单项就是像文字描述的那样。

   

   3>威胁检测

   通过平台对终端下发策略，查杀病毒。

   

   4>响应中心

   根据终端的安全级别进行联动。EDR联动目前支持AC、SIP及AF设备。

  AC要求是12.0.17以上，AF要求是8.0.6及以上版本，SIP要求是3.0.2版本及以上，EDR要求是3.2.3版本及以上。

   

   5>日志报表

   看日志的。字面意思

   

   6>系统管理

   管理，各种常用或不常用的功能。

   

   二、OVA导入

   支持虚拟机导入的方式配置MGR平台。支持VMware和aCloud平台。

    OVA文件下载：

    3.2.8ova正式版本

    链接：https://pan.baidu.com/s/1X9n73vA5xvJCBw88S2T2oA
    提取码：5q5x

   1、VMware导入

    【文件-打开】，选择下载好的文件。

     

    OVA文件是基于CentOS 7.X的版本。

    2、开机

    默认账号密码为：root/root

    EDR3.2.9r1版本之前的OVA模版的Linux默认帐号密码是:root/root
   EDR3.2.9r1版本的OVA模版的Linux默认帐号密码是:root/edr@sangfor
  CSSP里面edr的OVA模版的Linux默认帐号密码是:root/sangfor123

   

   3、修改IP

   虚拟机有两块网卡， eth0：10.251.251.251；eth1：无IP。

   使用ip addr命令查看网卡信息。

   

   使用vi /etc/sysconfig/network-scripts/ifcfg-eth0修改网卡配置信息

         修改为访问配置的EDR平台IP地址

   然后使用：/etc/init.d/network restart命令重启网络。

   或使用service network restart命令。

   使用vi /etc/resolv.config修改DNS

   

  使用https://10.251.251.251地址进行登录

  

   登录成功。

  aCloud在【虚拟机-新增】界面点击导入虚拟机进行操作。

  

  配置方法与VMware相同，修改IP地址即可使用。

   三、agent安装

   agent是安装在虚拟机或物理机上。

   支持主流的操作系统。像客户机，如XP、win7、win8、win10，服务器，如Server03、Server08等等。基本上能遇到的都支持。

   1、agent下载方法

   a.登录界面下载

   

   点击“windows”下载Windows的agent，Linux也如些。

   b.控制台下载

   【系统管理-终端部署】

   

   下载哪个平台点哪个。

   2、安装

    双击exe程序。按步骤安装。

   

   安装完成。agent首页。

   

   功能如图所示：杀毒，杀木马。

  四、优势

   返回开篇的问题，某公司的杀软和其他厂商的有什么区别？

   感觉最大的区别就是：协同响应。

   可通过MGR、SIP、AF、AC下发安全策略，及时发现风险，将风险传播的范围压缩到最小。

   如果还有疑问，社区搜索一下，你就知道。

已收藏 EDR出来之后还没碰过 以后肯定用得上:666:

学习了，很好

老哥非常稳，很详细！一看这么骚气的标题，第一个想到的作者就是你:好棒::好棒:

感谢楼主分享 学习中

差了一步  要关个进程

这说的有问题，最大的不同是轻客户端重服务器端吧，协同响应这回事只能算特点吧，毕竟客户可能只买了EDR和超融合，没有AC和AC以及安全感知这些帮手，EDR依然可以搞定日常防护~~猪是这么认为的

听起来很牛逼

我这采购了几个edr的授权，用了一下感觉还行。
首先安装的终端服务器有配置要求的，4核8G。我拿虚机装的管理后台。
管理后台安装使用的是ova导入，修改eth1的IP，然后通过https来访问。客观的讲，用ova的方式安装更傻瓜也更方便。省的你还要先搭一个centos的系统，然后再一步步的搭环境。
使用上面来说，主要用的就是威胁检测，威胁检测说白了就是手动杀毒和定时杀毒。
微隔离这个功能看起来挺不错的，通过指定策略进行特定隔离。不过我的业务场景没那么细，暂时用不上。
响应中心功能，我现在内网杀不出来毒，每次点开都是空白，除非哪天爆发个大规模病毒袭击，可能用下里面的威胁定位先定位下，再通过运维功能下发个脚本。
edr很有特色的一个功能就是可以联动响应，通过和其它安全产品连线形成立体化安全保护，一个产品发现问题自动联动其它产品开始防御。不过这个功能我一直没用上。我的AC等级太低，虽然联动了，但是用不了。AF的话，楼主说错了，要8.0.6才能联动，我是8.0.2，也不能联动的。不过好玩的是，AC可以用edr的管理后台里联动，但是AF要想和edr联动，得在AF里操作...

agent能替代杀毒软件吗？如果不能旧电脑开机又运行杀毒又运行agent不知道会不会拖慢电脑。