EDR细节总结-建议SSTP水平人员学习
  

李云凯 6094

{{ttag.title}}
本帖最后由 李云凯 于 2022-6-22 16:12 编辑

edr看起来简单,但是细节方面有需要需要大家去注意。这里给各位兄弟提几个注意点
1.edr分三种,国产化edr,正常edr,sase edr,这里可以把正常edr与sase edr同等看待。因为作用是一样的
2.国产化edr目前只是针对国内自研的操作系统,例如鲲鹏,银河麒麟等等
3.正常edr与sase edr只是授权上不同,正常的在本地局域网授权(与该局域网是否可连通外网无关,仅对局域网进行授权,这优点也是缺点),
sase edr授权pc需要连接到云端的服务器(通过云端服务器进行授权,一般情况下电脑能上网就能授权,这是优点,缺点是无法对隔离网的终端进行授权安装)
4.edr是对操作系统进行授权的,但是edr是只能有一个user操作该edr,举个例子,一个服务器安装了一个edr,其中有多名员工使用不同账号登录该服务器,会出现什么样的情况呢,:占用一个授权,但是只有一个员工的账号可以操作该edr,另外一个员工(使用不同服务器账号)无法启动edr(但是edr还是运行的,只是无权操作)
5.很多时候影响安装的不一定是操作系统,在列表中的是可以安装,但并不是一定能安装。不在列表中的也有可能能安装上。
6.安装的时候尽量关闭其他的软件,尤其是杀毒类的,360,ip guard等等,之前就遇到过。启动的时候无法安装,对于一些强powershell的软件,例如:额,这里名字忘了,遇到可能性还是有的,建议电脑/服务器,关机,使用安全模式开机进行安装。
7对于安装不上edr的电脑或者服务器,我们可以推荐客户使用专杀工具,wiki.sec.sangfor.com.cn,这里去下载,效果之前测试过。应该是还不错的,不会比edr差太多,只是机制上是单次不循环的扫描智能检测。应急是莫得问题的。

8.安装本地edr的时候,能镜像化部署就镜像化部署,如果用脚本部署,就比较费劲,其中遇到一个中途版本的时候,还会出现授权异常的现象需要进行修复。比较耗时间。
9.edr可以进行策略下发,但是电脑端的agent也是可以直接执行查杀的。本地执行>策略执行。若本地正在有查杀任务进行,则mgr下发到agent的命令不会将其中断。
10.edr最常见的就是终端的下线,其中的原因有很多,不过百分之80都是网络问题,少部分是进程开机时刻未拉起导致通信异常。这里为了保障效率,建议大家安装agent之前,一定要先设置一个防止卸载以及退出的命令,以便后续的一个卸载操作。
11.若mgr是安装在虚拟机中的,若客户需要更换物理服务器,这个时候需要搭建新的mgr-在新服务器上,保持新旧版本一致,ip地址一致,即可保证mgr的替换(先和销售400保障一下)。这里也有一个注意的点,下载下来的安装包,名字强烈不建议修改,修改了可能就失效了。上面的名字其实就是服务器的地址,安装时也是和这个域名进行通信获取里面的授权
12.edr联动篇,这里把edr分为sase edr与本地部署edr。sase edr也叫做云edr,云edr支持与AF(网关出口)进行联动,与本地AC联动是不行的(理论上是和公网设备能进行联动,但是网关部署的Ac没有去联动做过,因为比较少),本地edr,支持与AF,AC进行联动,这个联动的话也是要求mgr与各设备能正常通信,如果通信失败那就会断开联动,一般采购了安全态势感知(sip)的客户咱们建议给客户部署本地edr,一个是能加强数据风险识别(联动后),另外一个就是只有本地的edr才能与sip联动(理论上把sip映射到出去也可以做到与云edr的联动,但是这样不安全,也不建议做。目前还没有做过如此测试。),联动云端edr的时候很多时候新手容易把自义定的名称作为联动的账号名称,其实是系统生成的那个才是真正的账号,这里大家注意一下(云图上)
13.edr极端篇,客户有北京上海两个公司,目前计划在公司北京部署edr,要求都能实现防护。若只部署一个edr-mgr,则需要将该ip映射出去,此时上海就可以通过这个公网ip+端口进行访问,但是这样做不安全。且占用实际带宽。建议方法一,北京上海分别部署mgr管理端,区分管理。建议方法二:北京上海两地打通ipsec vpn通道。如此可以避免端口的外放,而且ipsec vpn也是可以设置部分放通可访问的数据,入站策略+出站策略。这个也是比较稳妥的。

打赏鼓励作者,期待更多好文!

打赏
23人已打赏

steingate 发表于 2022-6-22 11:54
  

回帖奖励 +1


感谢分享,有助工作和学习!!
angelccn 发表于 2022-6-22 12:40
  

回帖奖励 +1

感谢分享,有助工作和学习!!
牵网线的 发表于 2022-6-22 12:45
  

回帖奖励 +1


感谢分享,有助工作和学习!!
头像被屏蔽
新手899116 发表于 2022-6-22 16:33
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
JM 发表于 2022-6-22 16:38
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手612152 发表于 2022-6-22 16:44
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2022-6-22 16:50
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2022-6-22 16:54
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2022-6-22 16:58
  

回帖奖励 +1

提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人