终端检测响应EDR
产品功能
更新时间: 2022-08-30 21:06:00本文档介绍EDR的产品功能,具体如下:
功能 | 功能细项 | 详细功能描述 |
运维管理 | 终端发现 | 通过安装EDR Agent的主机,实现对管理员下发的ip网段或端口范围进行网络探测扫描,获取到资产的操作系统、ip和mac等信息,再通过与已安装EDR Agent的资产进行对比,从而发现未安装EDR Agent的资产。 |
资产清点 | 采集上来软、硬件等资产信息,实现对其中最重要的操作系统、应用软件、监听端口、系统账户信息进行归类清点,方便管理员可以从终端视角,也可以从资产角色进行资产管理。 | |
桌面管理 | 通过集成远程控制功能,基于远程控制开源软件UltraVNC(分为客户端和服务端),EDR客户端默认附带UltraVNC服务端程序。通过在EDR管理平台发起远程,下载运行UltraVNC 客户端程序,输入被远程端 的IP、端口以及授权码即可实现远程控制。 | |
安全防护 | 漏洞检测与修复 | 助企云EDR下一代轻补丁漏洞免疫技术,直接在内存里对有漏洞的代码进行修复,避免遭受漏洞攻击。通过EDR终端检测响应平台提供的高危漏洞免疫模块,提供业务无感知的轻补丁修复能力。 |
恶性病毒处置修复 | 助企云终端检测响应平台EDR基于AI赋能,结合多维度、轻量级漏斗型检测框架,通过文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等引擎的层层过滤,恶性病毒检测更快速更精准。同时,根据不同恶性病毒,进行代码层级的细粒度修复,实现根本性无损修复。 | |
勒索病毒立体防护 | 助企云EDR基于主流攻击方式的技术研究,以及勒索病毒攻击链原理分析,覆盖勒索病毒全生命周期,提供预防、防御、检测与响应三个阶段的4-6-6三层立体防护,满足Gartner的安全要求,为终端提供全面、实时、快速、有效的安全防护能力,让勒索病毒无所遁形,保护组织终端业务安全。 | |
网端云联动 | 通过EDR主动上报终端资产数据、行为数据、威胁日志数据,与vAF(下一代防火墙)、vSIP(态势感知)、安全云脑等产品进行协同关联分析和取证;比如行为数据中包含了DNS与进程链的关联信息,vAF平台通过DNS,即可获得进程链信息以供举证或进行下一步的溯源,通过进程信息,关联分析该进程的其它行为信息,如文件行为、网络行为等。同时,与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。 | |
创新微隔离 | 助企云EDR微隔离下一代主机隔离技术,架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。windows上采用WFP架构实现,应用层采用WFP 基本筛选引擎(Base Filtering Engine )接口实现网络访问关系的控制,驱动层采用WFP内核态过滤引擎实现网络流量的监控。Linux 上采用NetFilter /iptables实现网络关系的访问控制,采用网络连接跟踪的技术实现网络流量的监控。 |