本帖最后由 李会斌 于 2023-3-14 16:51 编辑
EDR2023年护网加固调优指导
1. 产品加固 1.1. 版本升级 (1)攻防演练期间EDR提供的版本为3.5.30版本,所有参与攻防演练的EDR需要升级至此版本。 (2)aCheck巡检-根据报告优化设备。
1.2. 开启HIDS自动上报 HIDS可以检查管理平台关键信息是否异常,如果异常自动上报至云端,云端运营专家及时发现风险设备并介入处理。 打开【系统管理/系统设置/基本设置】中,云安全计划是否选中,如下图,如果没有勾上,需要把『云安全计划』启用即可。 1.3 网络联通性检查 使用aCheck工具巡检,观察『在线升级能力检测』检测项是否检测通过。 如果检查结果不通过,则说明管理平台无法联网,按以下步骤检查环境和配置。 (1)检查管理平台所在环境是否具备联网条件 (2)检查管理平台网络配置是否正确 打开【系统管理/系统设置/网络设置】,检查管理平台路由、网关和DNS配置是否正确,如下图: (3)如果客户环境是通过代理接入互联网,则检查管理平台网络代理配置是否正确打开【系统管理/升级管理/平台和终端升级/平台补丁更新】,点击『更新设置』,检查网络代理配置是否正确,如下图: 1.4 控制台帐号检查 控制台帐号检查包括多余帐号检查、用户名和密码检查、限制IP登录检查以及登录安全策略检查。 (1)多余帐号检查 打开【系统管理/帐户管理】,检查是否存在多余的控制台帐号,并删除多余帐号。 (2)用户名和密码检查 修改登录密码为强密码:打开【系统管理/帐户管理】,点击『修改密码』,修改控制台用户密码为强密码,强密码建议如下: (3)限制IP登录检查 打开【系统管理/帐户管理】,编辑控制台帐户,设置该帐号仅允许从管理员运维电脑登录,如下图。 1.5 病毒库版本检查 病毒库检查需要确保当前病毒库版本最新,平台部署在不具备联网条件的环境中,需要离线下载病毒库导入更新。 打开如下地址,查看最新病毒库更新时间,如处图: https://bbs.sangfor.com.cn/plugin.phpid=service:download&action=download_now&type=soft&downloadid=13729&code=e5c0296554e47f84ee102b1d74d624c1 管理平台打开【系统管理/升级管理/病毒库和引擎升级】,看平台当前病毒库版本是否最新,如果不是最新,从上述地址下载最新病毒库后导入平台更新。 1.5 关闭SSH后台接入 打开【系统管理/系统设置/网络设置】,关闭『SSH服务』,如下图: 注意: (1)SSH开关功能在升级最新的安全加固补丁后才可以使用。 (2)确认客户是否有使用级联功能,如果有使用级联功能,关闭SSH后,级联无法使用。 打开【系统管理/分支管控/分支平台管理】,如果有其它平台接入信息,说明使用了级联功能。
2. 策略调优 2.1 基本策略 基本策略开启终端『防退出』、『防卸载』和『加白文件密码保护』。 密码建议保持默认,默认密码是随机强密码。 2.2 病毒查杀策略 Windows和Linux终端病毒查杀策略按如下配置: (1)开启定时查杀,建议每周全盘查杀一次,每天快速查杀一次; (2)“查杀扫描”右侧锁图标需点亮,管理平台的配置才能下至客户端; (3)“发现威胁”的处置动作设置为“自动处置-业务优先”; (4)“引擎配置”为“标准模式”; 其它配置保持默认。 2.3 实时防护策略 Windows和Linux终端实时防护策略按如下配置: (1)开启文件实时监控、webshell检测、暴力破解检测、无文件攻击防护 (2)所有实时防护功能右侧锁图标点亮,管理平台的配置才能下至客户端; 2.4 勒索防护策略 勒索防护策略建议开启『勒索病毒防护』和『远程桌面登录二次认证』。 打开[终端管理/策略中心,通过[勒索防护/勒索病毒防护进行策略配置,如下图。 2.5 信任名单策略 信任名单检查windows或linux终端是否存在多余的信任文件或目录并删除。
检查是否存在多余的防暴力破解IP白名单、并删除,如下图。 检查是否存在多余的白名单文件、白名单目录或白名单后缀并删除。 打开[响应中心/自定义,检查是否存在多余的白名单文件并删除,如下图。 2.6 漏洞防护策略 漏洞防护开启『轻补丁漏洞免疫』,如下图。 2.7 桌面管控策略 桌面管控策略开启『USB存储设备管控防护』。 开启『USB存储设备管控防护』,终端将无法使用U口设备,需要提前和客户沟通,无U口设备使用需求,请开启此功能。 2.8 微隔离策略 梳理业务系统访问关系,建议通过微隔离策略放通必要的业务端口,禁止非必要的高危端口通信,防止病毒通过高危端口横向扩散,提升业务的安全性。 配置服务,包括需要禁止访问的高危端口(如,135、136、137、139、445、3389)端口,如下图: (3)配置微隔离策略: 拒绝到业务系统的高危端口通信,如下图: 3. 风险评估 3.1 终端基线检查 打开【威胁检测/终端基线检查】对服务器进行操作系统安全基线检查,不合规的基线需通知客户进行修复。
3.2 终端漏洞查补 打开【威胁检测/终端漏洞查补】检测服务器是否存在未修复的漏洞,对于未修复的高危漏洞需通知客户进行修复。 3.3 风险帐号终端 运维管理员应定期梳理内网终端风险帐号并进行整改,避免因终端风险帐号带来安全隐患。 使用EDR终端清点功能可以梳理内网终端风险帐号。打开[终端管理/终端清点/终端账户,过滤风险帐号,如下图。 3.4 高危端口终端 运维管理员应定期梳理内网终端高危端口并进行整改,避免因终端高危端口暴露带来安全隐患。 使用EDR终端清点功能可以梳理内网终端高危端口。打开[终端管理/终端清点/监听端口,过滤风险端口,如下图。 3.5 自动处置 因设置了发现病毒后的处置动作为[自动处置-业务优先],所以大部分病毒能自动处置。自动处置的威胁文件加入隔离区,打开[响应中心/威胁响应/威胁事件视角/已处置中查看,如下图。 3.6. 威胁事件处置 打开[响应中心/威胁响应/威胁事件视角/未处置]中查看。需要人工初步分析后处置分以下四种情况 (1)检测到挖矿病毒,可以一键处置 打开[响应中心/威胁响应/威胁事件视角/病毒查杀/未处置],威胁类型过滤条件选择挖矿病毒并选中,点击[一键处置]。 (2)检测到感染性病毒文件,可以一键处置并修复 打开[响应中心/威胁响应/威胁事件视角/病毒查杀/未处置],威胁类型过滤条件选择感染性病毒并选中,点击[一键处置]即可完成感染性病毒的处置和修复。 (3)检测到宏病毒文件,可以一键处置并修复 打开[响应中心/威胁响应/威胁事件视角/病毒查杀/未处置],威胁事件病毒名称中含有W97M/VBA/MSWord/X2000M关键字的病毒为宏病毒,可以一键处置和修复。 (4)除以上情况,检测到威胁文件属于木马、蠕虫或其它类型病毒,参考以下情况分析。根据文件路径和文件名初步判断文件是否为业务或系统文件,如果不是业务或系统所需文件,可以一键处置。如果初步判断不是业务或系统文件,可以不用处理或者借助情报分析平台进一步分析后再处置。 (5)点击<威胁分析>,跳转至情报沙箱网站,对威胁文件进一步分析定位。 (6)通过情报网站分析鉴定,如果文件为恶意文件,可以文件进行[一键处置]
|