本帖最后由 酒慰风尘 于 2021-1-24 10:18 编辑
背景: incaseformat突然爆发,导致大量电脑文件被删除,某公司EDR专杀工具当天下载量也达新高,客户也对这次病毒高度重视,要求上门对桌面云进行巡检,并测试EDR对派生的虚拟机进行杀毒,保障虚拟机正常运行。
处理过程: 第一步:对客户的内外网两套桌面云进行巡检,发现部分补丁需要更新,联系400小姐姐获取补丁包,对adesk进行安全加固,再次巡检,桌面云平台良好。 第二步:客户场景是政服务服大厅,无服务器,所以在桌面云平台安装edr,但是桌面云不支持ova模板直接导入,于是从论坛下载iso镜像进行安装 1.创建符合EDR要求的虚拟环境 2.上传镜像 3.选择加载镜像,选择刚上传的镜像 4.给虚拟机加载镜像,选择第一个选项通过驱动安装,第二个选项是通过usb安装,明显不对 5.设置账号密码 6.几分钟的等待之后,系统安装完成,reboot后登陆系统,配置网络适配器,因本人是linux渣渣,所以选择通过nmtui进行修改 7.选择网卡 8.配置地址 9.linux和win系统的区别就是需要重启下网络服务 10.查看网卡信息,确保配置无误 第三步:申请授权,导入到EDR中,完成EDR安装 第四步:把规则库升级到最新 第五步:安装agent,并下发查杀任务,不查不知道,一查吓一跳,大部分虚拟机都中招了,还好没爆发,内心默默的庆幸一下,不然我有的搞了  第六步:对所有病毒进行处置,并导出处理报告,呈现给客户,跟客户说清楚edr测试周期为三个月,过期之后就无法进行查杀,望尽快转换成正式授权。不难看出两套网络中的病毒相当多 内网: 互联网:
第七步:设置定时查杀策略 考虑客户晚上下班会关闭虚拟机,于是在每天中午12:15分对虚拟机进行全盘扫描(定时扫描的时间一定要根据实际情况进行调整) 第八步:开启实时防护,这个也很重要,因是政务大厅环境,部分主机是对所有人可以使用的,极有可能通过U盘再次感染病毒
第九步:做完这些心里松了口气,心里一想,对虚拟机定期进行备份岂不是更好,即使客户EDR测试过期后中招,我还可以通过备份恢复,说干就干,创建虚拟机备份,双重保护更贴心哦 incaseformat病毒注意事项: 1、 不要随意下载安装未知软件,尽量在官方网站进行下载安装; 2、 尽量关闭不必要的共享,或设置共享目录为只读模式;某公司EDR用户可使用微隔离功能封堵共享端口; 3、 严格规范U盘等移动介质的使用,使用前先进行查杀; 4、 如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。某公司为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀: 64位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 32位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z 5、遇到安全事件不要慌,某公司为您提供专业的防护方案和解决办法  | 
楼主
发表于 2021-1-24 10:52
工程师1级 
