深信服EDR配置说明

首先,建议采用最新版本测试。

1、EDR测试环境

终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。

EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。

端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应,形成新一代的安全防护体系。

本次我们的测试拓扑如下:

2、EDR配置过程

2.1、服务端配置

本次部署,采用EDR管理平台虚拟机模板直接导入VMWARE中的方式

根据接入终端的数量,对服务器的配置要求也不同,一般终端数在50-500,建议配置4核CPU、4G内存、250G硬盘,终端数在500-2000时,建议配置4核CPU、8G内存、500G硬盘。本次测试采用4核CPU、8G内存、500G硬盘的配置。

导入虚拟机后,将虚拟机网卡接入到相关虚拟交换机下,然后开机,进入系统后,将默认的IP地址10.251.251.251修改为192.168.1.1。

为确保EDR各项功能使用正常,建议管理平台可与以下服务器通信:

(云脑)漏洞补丁相关:https://upd.sangfor.com.cn

(云脑)接入云脑授权:https://auth.sangfor.com.cn

(云脑)云查服务器:https://analysis.sangfor.com.cn

(云脑)云安全计划:https://clt.sangfor.com.cn

(CDN)漏洞补丁、规则、病毒库地址:http://download.sangfor.com.cn

客户端可与管理平台的TCP 443、TCP 8083、TCP 54120通信。

         使用浏览器打开https://192.168.1.1,使用用户名admin,密码admin登录,并修改管理员密码。导入相关测试授权即可。

2.2、客户端配置

在EDR管理平台中,系统管理——终端部署下,下载客户端安装程序。

将EDR客户端安装程序复制到相关终端上,安装程序的文件名不建议修改。

双击安装,安装完成即可。

3、EDR测试效果

3.1、终端资产管理

在EDR管理平台——终端管理,可以看到在线的终端

在终端清点下,可以看到终端的操作系统、安装的应用软件、开放的端口等

3.2、病毒查杀

在威胁检测——终端病毒查杀下,可以配置快速查杀或者全盘查杀

此时在终端上也可以看到EDR客户端开始查杀

等待查杀结束后,可由检测详情:

点击处置即可。

EDR对常驻内存病毒也可查杀,本次测试在个别服务器上就发现有此类病毒

该病毒利用WMI与Powershell方式进行无文件攻击,并常驻内存进行挖矿。

3.3、漏洞扫描

在威胁检测——终端漏洞查补下,可以对终端做漏洞扫描

添加漏洞扫描任务:

扫描完成后,根据策略设置,可以让终端从EDR管理平台或者微软补丁服务器下载补丁(相关设备需可以访问外网)

3.4、基线检查

在威胁检测——终端基线检查下

3.5、微隔离

通过微隔离功能可以对服务器进行防护,只放通必要的业务端口,禁止所有的非必要的端口,提升业务的安全性。通过可视化的方式查看到流量隔离状态。

策略配置也非常简单:

3.6、响应中心

本次测试,在响应中心可以看到个别服务器已失陷,且存在蠕虫病毒、木马病毒、暴力破解的威胁事件。

对于暴力破解,在系统日志中也得到验证。

3.7、安全日志

在安全日志下,可以查看到EDR记录的相关日志信息。