首先,建议采用最新版本测试。
1、EDR测试环境
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。
EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。
端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应,形成新一代的安全防护体系。
本次我们的测试拓扑如下:
2、EDR配置过程
本次部署,采用EDR管理平台虚拟机模板直接导入VMWARE中的方式
根据接入终端的数量,对服务器的配置要求也不同,一般终端数在50-500,建议配置4核CPU、4G内存、250G硬盘,终端数在500-2000时,建议配置4核CPU、8G内存、500G硬盘。本次测试采用4核CPU、8G内存、500G硬盘的配置。
导入虚拟机后,将虚拟机网卡接入到相关虚拟交换机下,然后开机,进入系统后,将默认的IP地址10.251.251.251修改为192.168.1.1。
为确保EDR各项功能使用正常,建议管理平台可与以下服务器通信:
(云脑)漏洞补丁相关:https://upd.sangfor.com.cn
(云脑)接入云脑授权:https://auth.sangfor.com.cn
(云脑)云查服务器:https://analysis.sangfor.com.cn
(云脑)云安全计划:https://clt.sangfor.com.cn
(CDN)漏洞补丁、规则、病毒库地址:http://download.sangfor.com.cn
客户端可与管理平台的TCP 443、TCP 8083、TCP 54120通信。
使用浏览器打开https://192.168.1.1,使用用户名admin,密码admin登录,并修改管理员密码。导入相关测试授权即可。
在EDR管理平台中,系统管理——终端部署下,下载客户端安装程序。
将EDR客户端安装程序复制到相关终端上,安装程序的文件名不建议修改。
双击安装,安装完成即可。
3、EDR测试效果
3.1、终端资产管理
在EDR管理平台——终端管理,可以看到在线的终端
在终端清点下,可以看到终端的操作系统、安装的应用软件、开放的端口等
在威胁检测——终端病毒查杀下,可以配置快速查杀或者全盘查杀
此时在终端上也可以看到EDR客户端开始查杀
等待查杀结束后,可由检测详情:
点击处置即可。
EDR对常驻内存病毒也可查杀,本次测试在个别服务器上就发现有此类病毒
该病毒利用WMI与Powershell方式进行无文件攻击,并常驻内存进行挖矿。
在威胁检测——终端漏洞查补下,可以对终端做漏洞扫描
添加漏洞扫描任务:
扫描完成后,根据策略设置,可以让终端从EDR管理平台或者微软补丁服务器下载补丁(相关设备需可以访问外网)
在威胁检测——终端基线检查下
通过微隔离功能可以对服务器进行防护,只放通必要的业务端口,禁止所有的非必要的端口,提升业务的安全性。通过可视化的方式查看到流量隔离状态。
策略配置也非常简单:
本次测试,在响应中心可以看到个别服务器已失陷,且存在蠕虫病毒、木马病毒、暴力破解的威胁事件。
对于暴力破解,在系统日志中也得到验证。
在安全日志下,可以查看到EDR记录的相关日志信息。