|
一、背景 深信服EDR作为终端检测响应平台,轻量级终端+管理平台组成的解决方案,利用对终端威胁的持续检测能力,对威胁事件进行一键隔离的响应设置,深信服的EDR产品与AC的联动协同响应,形成新一代的安全防护体系。此功能适用于已部署本地EDR产品,AC支持和本地EDR联动。
二、配置过程 1、AC联动EDR 在EDR管理平台的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。 注意:如果EDR设备未勾选联动设备准入设置,在AC设备上填写接入IP设置时会提示“自动密码协商失败,请稍后重试”。 在AC设备的[终端行为安全/终端上网安全/安全能力/安全配置/终端检测与响应(EDR)中选择本地接入,填入本地EDR管理IP,点击<接入>。 联动成功后显示EDR服务信息、接入EDR终端数和已联动处置次数。 点击<查看联动详情>,跳转到联动终端详情页面。 2、AC联动EDR推送EDR agent 推送EDR agent设置。点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,勾选“启用推送配置”,配置相关参数 策略适用范围:配置需要推送EDR客户端的内网IP或者IP段。对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR的终端。是否强制重定向:勾选强制重定向后“推送时间间隔”将会失效,未安装EDR终端将始终重定向到EDR agent下载页面。重定向地址:填写EDR agent下载页面。获取方法:在EDR设备的[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。 推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s。 三、验证效果 适用策略地址范围的终端,没有安装EDR时,打开浏览器访问网站会重定向到深信服EDR终端防护中心部署通知页面,页面提供Window、Linux两种操作系统的方式。此时,客户端根据提示,下载对应操作系统的安装包,完成安装。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-13 08:26
技术专家2级 
