“SCSA-T学习导图+”系列：终端检测响应EDR

本期引言：
90年代的终端防护以防病毒、恶意代码为主，那时只需在电脑终端上安装防病毒软件，就能应对80%-90%的终端安全问题。随着近些年攻防较量的升级迭代，在终端的战场上，仅仅应对恶意代码防护已远不能满足终端安全要求，还需增加漏洞防护、情报检测、动态联动、实时响应等安全需求。本文以EDR的部分代表功能为例，瞥见EDR防护措施的迷人魅力。

一、什么是终端检测响应EDR

近些年，在大数据、AI等新技术加持下，攻防技术也有了长足的发展，呈现出新的特点。

防护的种类不再局限于恶意代码防护，还需兼顾情报收集、漏洞利用攻击防护；防护攻击的窗口收窄，新型攻击方式迭代加速，原有针对攻击特征的分析、识别、提取、升级的方式不再适用，需增加鉴“白”能力，提升可信的自身免疫力加以对抗。

那什么是EDR呢？EDR的全称是终端检测与响应（Endpoint Detection &Response），它是在终端节点上检测已知、未知的威胁，需兼顾预防、防护、检测、响应、运营等多重需求，在智能化、情报分析等新技术加持下，提高威胁鉴别能力和响应速度的技术和设备的统称。

图1 AI核心下的下一代终端安全

二、EDR架构（系统架构&部署结构）

下一代终端防护需求的多重性，也决定了EDR产品的多种功能和多重结构设计的必要性。EDR的系统架构分为基础平台层、核心引擎、功能展现3层，如下图示。

图2 EDR分层架构

基础平台层，主要负责提供集中管控，云查以及主机代理功能；核心引擎层，主要负责提供病毒检测，威胁分析以及行为检测等功能；功能展现层，主要从预防、防御、检测、响应等四个方面，提供全面的安全防护体系。

在EDR部署方式上，通常采用3层结构，即云端、管理端、客户端。如下图所示。

图3 EDR分层部署

云端主要负责病毒库升级、云端查杀服务、情报服务等功能；管理端主要负责维护管理安装Agent的客户端；客户端主要通过安装了本地的终端软件，检测威胁，执行防护策略。

EDR系统部署无需对网络进行调整或对网络设备进行配置，EDR管理端采用旁路方式接入内部网络，在办公环境所有主机上（包括物理PC终端、虚拟机、物理服务器、云主机）安装EDR客户端代理，被管理主机能连通控制中心即可。管理员通过B/S管理中心对全网已安装客户端代理的主机进行策略设定下发、监控管理、安全审计等操作，客户端代理则负责策略接收、任务执行、日志上报等事项，以便整体保障终端安全性。

三、EDR功能之一勒索防护

众所周知，WannaCry是一种大小仅为3.3M的勒索病毒，爆发于2017年5月，造成全球150多个国家和地区超过10万台的电脑被加密勒索。

通过EDR的勒索防护功能，能有效的避免该类事件的发生，有效保护我们的信息资产。

通过在EDR管理端配置策略，终端处会在勒索病毒经常加密的目录按照投放规则投放诱饵文件（文本文件、pdf、图片等），并实时监控诱饵文件是否被修改。如果电脑感染勒索病毒，勒索病毒会遍历目录下的所有文件并对文件进行加密（勒索防护功能够按一定算法确保诱饵文件先被勒索病毒读取），当EDR检测到诱饵文件被修改时，EDR客户端及时进行报警拦截，从而更早更及时地发现和清除未知勒索病毒，避免终端系统文件或业务文件被加密。

接下来通过在EDR管理端配置防护策略，实现勒索病毒的防护功能。

1、 打开【终端管理】->【策略中心】，选中具体分组即进入该组实时防护设置。

2、 在勒索病毒防护处处，勾选【开启勒索诱饵防护】，发现勒索行为处，可选择“自动处理”和“告警并手动处置”。如下图所示。

图4 EDR勒索防护配置

3、策略下发生效后，终端处检测到有操作诱饵文件行为（读或写）时，会弹框告警该类行为。

图5 终端告警提示

终端中生成的诱饵文件默认是隐藏的，不干扰终端正常运行和使用。

EDR除了勒索防护功能之外，还具有较多的实用防护功能，助力安全管理人员从纷繁复杂的安全工作中解脱出来。具体功能如下：

• 终端分组管理
• 终端资产清点
• 终端发现
• 终端基线检查
• 远程协助
• 漏洞修复
• 轻补丁漏洞免疫
• 终端广告拦截
• 威胁微隔离
• 威胁响应
• 威胁定位
• Webshell检测
• ……

  
  
  
  

总结
本文从终端防护的需求背景出发，简要对比传统终端防护与下一代终端防护的不同，给出EDR的定义。在了解EDR的系统架构和部署结构后，以当下较热门的勒索病毒防治为例，快速启动EDR中勒索防护策略，实现防护效果。EDR身兼数“职”，百技压身，结合安全管理员的工作职能，最后罗列了与之较相关的、实用的EDR功能，借此感受EDR的魅力所在。

作者介绍
严波，深信服教学教研中心主任
深信服安全服务认证专家（SCSE-S），产业教育中心资深讲师，网络安全等级保护体系专家，网络安全高级咨询顾问，中国网络空间安全协会会员，中国计算机学会会员，担任中国计算机行业协会数据安全专业委员会委员，数字政府网络安全产业联盟人才培养发展委员会副主任，中国软件测评中心数据安全产业专家委员会委员，暨南大学网络空间学院校外实践指导老师，深圳大学专业学位研究生校外导师，深圳信息职业技术学院产业学院副教授等职务，持有CISAW、CISP、CCNP等行业证书；负责过省级重大网络安全项目的策划、设计、建设，具备丰富的网络安全体系建设和安全服务的实战经验。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

坚持学习感谢分享有助于工作

感谢楼主分享，努力学习中！！！！