本帖最后由 赵庆煜 于 2023-12-25 14:17 编辑
一、什么是EDR的Agent
首先我们要知道什么是EDR?官方给的解释是:
EDR,英文全称是Endpoint Detection and Response,中文名称是“终端检测响应平台”,由轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。管理端具有 统一终端资产管理、终端病毒查杀、终端合规检查、微隔离访问控制策略统一管理等功能。可对安全事件一键隔离处置以及热点事件IOC全网威胁定位。Agent具有防病毒、 入侵防御、防火墙隔离、数据信息采集上报、一键处置等功能,对终端文件安全进行有效的保护。
简单的说,EDR产品是由于管理端MGR和客户端Agent组成的一套终端安全解决方案,Agent是安装在终端的客户端。
二、为什么安装Agent
EDR Agent是安装在终端电脑上的客户端,主要负责终端电脑安全防护及日志采集。也就是说,只有安装了Agent,才能实现终端自身的安全防护和EDR对终端的风险管控和策略下发。
三、怎么安装Agent(Windows)
登录EDR服务端控制台,点击系统管理->终端部署->通用部署:
双击安装包进行安装,安装包的文件命名格式为edr_install_EDR控制台IP地址_4430,4430为默认端口。
勾选同意免责声明,点击开始安装。
等待安装包从EDR服务端下载一些安装必要文件。
下载完成后,自动进入安装阶段。
安装完成后,点击开始防护,代表已完成客户端agent安装。
可以在EDR控制台“终端管理”看到该终端上线。
四、如何卸载Agent 客户端直接在终端上卸载是需要卸载密码,可以在服务端控制台看到,如果不想客户知道卸载密码,可以这样做; 登录EDR服务端控制台,点击终端管理->策略中心->基本策略。 找到终端防护中心密码保护设置,并取消勾选<开启终端“防卸载”密码保护>,最后保存。 在需要卸载的终端打开控制面板-程序和功能,进行卸载。 可以在EDR控制台“终端管理”看到该终端已卸载。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-3-24 09:03
技术专家2级 
