本帖最后由 举一个栗子 于 2022-11-19 00:14 编辑
EDR授权组成 智防、智控(微隔离)、智响应 PC端:智控+智响应 服务器端:智防+智控+智响应+服务端防护 影响agent升级 agent异常离线 agent到MGR的https端口不通 MGR设置不允许终端版本升级 EDR客户端升级 在MGR上配置错峰升级,避免同时升级数量过多导致带宽占满 CSSP里面的EDR组件不能单独升级 EDR管理平台升级 先下载升级包,从MGR页面导入升级 EDR联动SIP EDR安全日志上报SIP,在SIP集中分析 SIP发现威胁流量,联动EDR一键分析处置威胁文件 SIP发现威胁流量,联动EDR一键隔离封锁威胁终端 SIP会对EDR识别到的资产同步到资产中心 安全策略对WindowsPC客户端 生效:病毒查杀、暴力破解检测、勒索病毒防护、系统漏洞检测与修复 不生效:webshell检测 安全策略对Linux系统服务器 生效:文件实时监控、webshell检测、病毒查杀、暴力破解检测 不生效:勒索病毒防护、系统漏洞修补、无文件攻击防护、系统漏洞检测与修复 EDR基线检查功能 可以检查windows系统是否符合基线要求,更具修复文档对不符合进行修复加固 EDR管控 支持U盘、USB移动硬盘、USB便携设备(手机、相机),不支持鼠标键盘 支持自定义需要禁止使用的设备类型 插入被禁的usb设备,计算机上看不到对应usb盘符 可以通过添加设备ID方式对特定USB设备加白 终端违规外联 处置包括不处理、关机、断网 可以自定义修改违规外联的探测间隔 违规外联探测的目的地址可以是域名或IP 违规处置动作是“断网”,重启后恢复 违规外联探测使用ping 远程协助功能 只支持被控和远控端网络可达场景,不支持NAT场景 仅支持Windows系统,不支持Linux 被控端无法主动断开远程 广告弹窗拦截 不支持自定义添加弹窗 不支持弹窗加白 只支持win7、win10 可以在MGR端、客户端开启 有自保护的弹窗进程不能拦截 图标超过20k,弹窗拦截记录显示默认图标 弹窗规则库中通一软件不通弹窗名称和弹窗类型一样的情况,拦截日志会出现多条一样的记录 |