EDR简介(来至官方):
终端检测响应平台(EDR)是某公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。
EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。
端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。某公司的 EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应,形成新一代的安全防护体系。
首先登录EDR中心端,进入“系统管理”,可以看到第一个就是“终端部署”模块,目前有四种方式部署终端,下面我们一一介绍。
1、下载安装包部署
管理员本地下载agent安装包,通过U盘等移动介质将其导入终端进行安装部署
1.1、windows操作系统安装步骤:
1.1.1、点击下载安装程序;
1.1.2、将安装程序拷贝至需要安装的终端;
1.1.3、在终端双击执行安装程序;
1.1.4、安装成功,终端的 agent 程序将自动连接EDR管理中心;
windows客户端安装程序默认命名(类似: edr_installer_192.168.1.10_443.exe)包含EDR管理平台的通讯地址信息,下载后请勿更改安装程序名。
1.2、linux操作系统安装步骤:
1.2.1、点击下载安装包,或执行下载命令 wget --no-check-certificate
https://manager_ip/html/linux_edr_installer.tar.gz 进行下载;
1.2.2、将安装包拷贝至终端;
1.2.3、在终端解压安装包 tar-xzvf linux_edr_installer.tar.gz;
1.2.4、执行命令./agent_installer.sh;
1.2.5、执行完成,终端的agent程序将自动连接EDR管理中心;
2、网页推广部署
管理员发布部署通知的web页面,将发布页链接通过邮件、OA等方式发送至终端,终端用户自行下载agent安装包进行安装部署
3、AC联动部署
联动某公司上网行为AC,通过AC系统的终端安全(EDR)推广配置将终端重定向至部署通知的web页面,直至终端下载安装agent完成部署
3.1、在AC系统的安全上网-安全能力-推送配置中启用策略, 将终端访问网页的重定向页面设置为部署通知的web页面;
3.2、AC上配置配置步骤;
3.2.1、WEB控制台找到【上网安全】-->【安全能力】-->【安全配置】-->【终端安全】-->【终端检测与相应(EDR)】界面;
3.2.2、首先设备要加入到EDR管理平台,成功加入之后再做下面操作;
3.2.3、右上角有个推送配置点开,勾选启用推送配置;配置策略使用范围,默认0.0.0.0-255.255.255.255;重定向地址选择EDR安装界面https://EDR中心端地址/ui/web_install.php。推送时间间隔可以自己设置,默认是300s。配置完成点击确定即可;
3.3、EDR推广策略设置成功,终端用户访问的网页将被自动重定向至部署通知的页面,终端用户下载安装agent完成部署后可正常访问其他网页;
4、虚拟机模板部署
管理员在虚拟化平台上通过虚拟机模板实现对虚拟机的镜像部署
4.1、新建一台虚拟机,通过agent安装包在该虚拟机上安装部署agent;
4.2、将该虚拟机导出为ova、ovf、vma等格式的镜像文件作为模板;
4.3、在虚拟化平台导入该模板文件,镜像部署其他虚拟机;
注意事项:
1、windows客户端安装包默认命名包含EDR管理平台的通讯地址信息,下载后请勿更改安装包名;
2、部署终端时需要确保终端设备与EDR中心端通讯正常;
3、EDR中心端与终端通讯使用到的端口,如果有安全设备,需要放通:
443端口: https服务端口,用于管理平台页面访问、升级包补丁包下载、远程脚本下载;
8083端口: IPC通信端口,用于端和MGR的通信;
54120端口: 逃生端口,应急情况与agent通信端口,完成agent重启、卸载和脚本执行命令下发;
发表于 2023-2-22 11:33
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师3级 
