本帖最后由 元气森林酸梅汁 于 2020-7-17 15:25 编辑
对于上线已久的AF联动EDR,以及最近简化使用步骤的8.0.26网端联动订阅一体机版本,论坛已经有了很多用过的小伙伴~但是网端联动的使用上,大大小小的功能,你是否都已经过了呢?  下面就为大家解密下两者的联系与区别~~
图标点亮即为该终端支持与EDR联动,表明该失陷主机可以通过联动EDR获取到恶意文件举证信息、并通过联动EDR进行处置。
防火墙识别到恶意域名访问定位出失陷主机后,将域名传递到EDR,EDR将进程关联定位出已感染病毒的文件。(防火墙定位的域名、EDR定位的文件也会上报给安全云脑-云鉴进一步的判断,并对恶意文件打上标签)。
从终端上报的信息看到主进程、子进程、释放的文件等终端产生的一系列动作进行举证,管理员可充分知晓终端执行的非法操作。
非法进程链展示:通过对进程进行溯源,将主进程释放子进程,子进程调用文件等行为进行细粒度展示。
云鉴文件举证:如果域名和文件是由云端识别的,通过点击域名和文件也可以直接跳转到云端的威胁情报平台展示详细的举证信息。
处置恶意文件:联动EDR处置病毒母文件及病毒运行后产生的所有子文件,对病毒文件进行清理; 联动EDR查杀:当处置恶意文件后但AF仍记录到外发请求恶意域名访问时,通过该按钮执行EDR的快速扫描功能,完成对pc指定区域文件的扫描和查杀,对病毒进一步的清除; 隔离主机:在上述操作都不能清楚病毒文件时,为了避免病毒继续请求恶意域名外联而带来安全风险,通过该功能将PC隔离,断开互联网
解除隔离主机:当清理完成该PC的病毒程序后,可以恢复隔离,使PC可以正常访问互联网,保持其正常功能的使用;
自动处同域名置相关联的文件:访问过同一恶意域名关联到的所有主机、及其关联到的所有恶意文件再联动处理过一次之后,后续会自动处置中毒文件。
在“处理结果”界面,可以看到失陷主机的处置所有记录,帮助管理员完成处理记录的审计工作。
在网端联动页面,可以选择网端一体机EDR订阅服务接入(简称一体机,不再需要额外的服务器来部署EDR管理平台,日常使用有效提升运维效率)、云端管理平台接入(云图SaaS部署的MGR)、本地EDR管理平台接入(本地服务器部署的MGR)三种方式中的一种,将MGR接入到防火墙上,保障MGR可以和防火墙进行通讯。
备注:EDR3.2.21版本后,如果要联动AF设备,需要在EDR的设置中开启允许联动
选择终端与防火墙进行通讯的IP,生成对应的下载安装包: 管理员可以下载安装包到本地,再通过其他方式(如聊天软件发送、ftp服务器发送)指导PC用户进行安装
将EDR 3.2.15版本的MGR部分功能集成到了AF界面,可以对已安装EDR的终端进行防护管控及杀毒策略的下发; 管理员不需要再跳转登录到MGR进行制定策略,可以直接在防火墙上配置,节约运维工作量;
查看已安装EDR的PC以及客户端上EDR的在线状态,通过联动操作的次数来判断该主机是否已经失陷,从而对未隔离的失陷主机进行断网隔离,防止僵尸网络病毒横向扩散,不需要再跳转到用户安全页面就能完成操作。
查看联动时,自动处置及手动处置病毒文件和进程的全部记录,确认病毒是否已经彻底清除,帮助管理员完成病毒查杀审计工作的记录;
查看EDR平台病毒库的更新情况及每个端点EDR病毒库的更新情况,确认病毒库是否处于最新状态,保障每台安装EDR的PC或服务器都能拥有最新的病毒查杀和防御能力。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-7-13 09:42
技术员2级 
