一、什么是EDR

EDR即集檢測、防御、運維功能于一體的主機安全及管理系統。EDR是一款集成了豐富的系統加固與防護、網絡加固與防護等功能的主機安全產品。

二、EDR的部署模式

EDR（Endpoint Detection and Response，端點檢測和響應）的部署方式通常涉及服務端和客戶端的安裝與配置，并確保二者之間能夠進行有效通信，以實現全面的終端保護和安全監控功能。

1. 服務端部署
   • 下載鏡像：根據需求選擇合適的鏡像文件進行下載安裝，例如ISO鏡像。
   • 修改網絡配置：確保服務端的IP地址、路由和DNS設置正確，使得客戶端能夠連接到平臺，并且平臺能夠連接到互聯網進行云查和升級。
   • 檢查端口：常見的通信端口包括443（用于下載Agent）、8083（業務端口）和54120（管理端口）。需要確保這些端口在防火墻中是開放的。
   • 設備授權：從客戶端電腦訪問MGR控制臺進行授權更新，確保系統能夠正常使用授權文件進行激活。
2. 客戶端部署
   • 支持操作系統：EDR客戶端通常支持多種操作系統，如Windows和Linux，具體包括32位和64位版本。
   • Windows系統安裝：可以通過MGR控制臺下載并運行安裝程序。不要修改下載下來的安裝文件名，按照提示進行安裝即可。
   • Linux系統安裝：可以下載提供的安裝腳本，通過執行腳本來完成安裝。具體命令如下：
   • 下載安裝腳本：wget --no-check-certificate https://管理平臺ip地址/linux_edr_installer.tar.gz
   • 解壓安裝包：tar -xzvf linux_edr_installer.tar.gz
   • 執行安裝腳本：./agent_installer.sh 管理平臺ip /home/EDR/
3. 通信問題
   • 物理隔離環境：如果服務端沒有訪問公網的權限，只是不能及時與深信服的安全云聯動獲取準確的安全情報和解決方案。
   • 網絡隔離環境：需要在防火墻上放通特定的IP地址和端口，以確保服務端和客戶端之間的通信暢通。
4. 云端部署
   • 本地環境部署：可以在用戶的本地服務器或虛擬化平臺上安裝Agent。
   • 云端環境部署：也可以選擇使用如華為乾坤終端防護與響應服務提供的云上EDR解決方案，通過云端一體架構提供跨平臺的安全防護。

三、功能描述

EDR（Endpoint Detection and Response，端點檢測和響應）功能包括實時監控、威脅檢測、自動響應、溯源分析、集成其他安全產品等。

1. 實時監控：EDR系統通過安裝在終端設備的代理持續收集關鍵數據，包括文件訪問、進程執行、網絡連接等，確保安全團隊能夠實時了解終端設備的活動狀態。
2. 威脅檢測：利用行為分析、機器學習等先進技術，EDR系統能夠檢測已知和未知的威脅。通過實時分析收集到的數據，識別潛在的惡意活動和攻擊模式。
3. 自動響應：一旦檢測到威脅，EDR系統可自動執行預定義的響應措施，如隔離感染設備、阻斷惡意網絡連接、終止惡意進程等，有效控制和緩解安全事件的影響。
4. 溯源分析：EDR系統提供詳細的事件日志和威脅情報，幫助安全團隊進行深入調查和分析，追溯攻擊源頭，揭示攻擊鏈的完整路徑，為后續的安全加固提供依據。
5. 集成其他安全產品：現代EDR系統通常具備良好的集成性，可以與SIEM系統、防火墻、反病毒軟件等其他安全工具和平臺無縫集成，構建更加全面和協同的安全防護體系。
6. 威脅狩獵：部分EDR解決方案支持主動威脅狩獵，允許安全團隊利用豐富的行為分析和可編程查詢工具，積極搜尋網絡中的潛在未知威脅，進一步降低安全風險。