本帖最后由 李会斌 于 2023-4-11 18:51 编辑
EDR功能测试分享
一、EDR安装
(1)社区下载3.5.30镜像包导入到VMware中,配置地址。
(2)编辑ETH0网卡
Vi /etc/sysconfig/network-scripts/ifcfg-eth0
(3)重启
二、基础配置
(1)更新EDR授权文件
(2)更新EDR规则库
下载规则库,导入即可。
(3)EDR客户端安装包下载与推送
(4)资产登记
安装EDR客户端成功后,需要填写用户信息,填写信息可能为瞎写。
(5)EDR客户端卸载与退出密码
(6)开启定时查杀
(7)EDR客户端实时防护
分别配置windows与liunx的策略
(8)开启防勒索
(9)远程桌面登录验证(mstsc)
备注:远程桌面二次认证只针对windows server服务器适用
(10)桌面管控 一、USB存储 1、添加U盘白名单-下载工具获取U盘ID 终端显示如下: 2、截止到标准版本EDR3.5.30,EDR关闭U盘管控功能,U盘管控还是生效状态的排查如下: (1)确认是否是全部终端的U盘管控还在,如果是全部,很有可能是保存没有成功,可以尝试换浏览器以及电脑清理缓存重新关闭U盘管控之后保存配置 (2)如果只是部分异常,可以查看之前修改U盘管理的配置范围是否没有包含当前异常主机,不同的组U盘管控配置可以不一样 (3)可尝试重启电脑测试是否能正常识别到U盘 检查EDR策略是否关闭 检查EDR策略是否下发成功 二、违规外联 (1)关机处罚 终端电脑提示如下: (2)断开网络惩罚 断开网络后需要重启电脑恢复 终端电脑提示: (3)只提示不处罚 终端电脑提示: (11)远程协助功能 截止标准版本EDR3.5.30,EDR的远程协助调用的是终端本地的客户端,需要本地终端与需要远程协助的被控终端网络互通。 注意:远程协助只支持远程端和被远程终端网络互通的情况下使用,中间有NAT的场景不支持 远程协助的作用:当被管控的终端出现故障时,管理员可以通过远程协助功能对终端进行远程控制,快 速、安全的响应解决终端问题 系统版本支持情况:截至标准版本EDR3.5.30,EDR远程协助只支持win xpSP3、win7 x86、win7 x64、win8 x86、win8 x64、win8.1 x86、win8.1 x64、win10 x86、win10 x64,不支持window server、Liunx系统和MAC系统 标准版本EDR3.5.24及以上版本支持win11远程协助功能,EDR3.5.24之前版本不支持win11远程协助功能 下载远程协助客户端插件: 安装远程协助客户端插件:
远程协助客户端显示: 远程成功显示: (12)微隔离策略 配置禁用远程端口3389测试效果如下: (13)系统补丁加固操作步骤因为之前写个,配置指导案例如下: https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=245773
(14)查杀病毒白名单 -自定义ioc 首次查杀有一个看到如下有个威胁文件,因为这是常用工具需要加白,查看MD5:15e203462ded86f963e08e2b94321379 添加自定义-IOC加白此软件MD5值后再次扫描正常。
|