20-EDR策略中心（一）电子课件

EDR策略中心（一）整体了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同终端有哪些安全策略掌握病毒查杀、文件实时监控策略的配置和使用教学目标客户选择EDR是为了给终端提供一套完整的安全解决方案，保护内网服务器和PC的安全。EDR提供基本策略、病毒查杀、实时防护、安全加固、信任名单和漏洞修复等安全策略帮助用户保护内网主机安全。打开【终端管理】->【策略中心】，选中具体分组即进入该组安全策略设置。需求背景病毒查杀文件实时监控目录需求背景以勒索软件为首的恶意软件让政企用户深受其害2019年“网络攻击千千万勒索病毒占一半”

GandCrab勒索病毒攻击我国政企内网2019-03易到用车核心服务器被勒索病毒攻击2019-05著名飞机零件供应商ASCO遭遇勒索病毒攻击2019-062019-09国内某大型建筑设计有限公司遭到勒索病毒攻击分布式团队作战按劳分配多劳多得高度专业化2020年勒索病毒攻击预测

企业

政府单位

医疗行业

公共机构目标集中化数据加密与数据窃取双重攻击不止于加密对整个文件进行哈希，基于MD5、SHA1进行检测阶段一：哈希运算提取病毒特征码，基于特征库进行检测阶段二：病毒特征码分析师对病毒的排查经验总结为自动化的检测程序阶段三：启发式检测基于哈希运算和病毒特征码的特点，静态特征与病毒需一一对应网络空间安全已成国家安全战略高地人才缺口巨大需要大量专业安全人才持续整理从2007年病毒数量开始爆发式增长新病毒变种持续增多，变种成本持续减小基于病毒特征库方式进行杀毒高级威胁持续产生，呈被动，后知后觉特点后知后觉本地病毒特征库有限特征库数量与已知病毒样本不匹配天生受限特征数量不断增多加重终端资源以及运算成本资源加重依赖云端查杀反馈结果杀软依赖云查杀，隔离网环境检测能力骤降依赖性大基于AI的检测技术可以解决以上问题检测技术进入第四阶段未知威胁层出不穷，传统特征杀毒趋近失效需求背景功能介绍文件信誉检测引擎基因特征检测引擎行为分析检测引擎人工智能检测引擎安全云脑检测引擎文件信誉检测引擎基于本地、全网、安全云脑构建文件信誉库基因特征检测引擎基于”小红伞“引擎构建基因特征识别库速度快，准确率高，误杀操作少行为分析检测引擎虚拟沙盒、引擎和操作系统环境仿真解析恶意代码本质人工智能检测引擎利用深度学习训练数千维度的算法模型持续学习，自我成长无特征检测技术安全云脑检测引擎使用大数据分析平台，基于多维威胁情报秒级响应检测结果基于AI多维度智能检测引擎功能介绍文件信誉检测引擎基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。功能介绍基因特征检测引擎

深信服EDR的安全运营团队，根据安全云脑和EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。功能介绍人工智能检测引擎SAVE勒索病毒PE文件结构原始特征(字节级特征)IP、端口、注册表键值、汇编指令等基于语义的特征构建高层次特征（提取本质行为）网络连接测试、文件加密、写入注册表、自启动特征筛选（降维）高质量特征（提取对判断是否是病毒最有效的特征）分类模型（训练/预测）黑/白………文件加密、自启动SAVE引擎能够分析高层次特征的影响，从而调整和优化分类模型泛化检测能力通过对某一类病毒高维特征提取泛化检测具有相同高维特征的数百类病毒功能介绍人工智能检测引擎SAVE相比基于病毒特征库的传统检测引擎，SAVE的主要优势有：强大的泛化能力，甚至能够做到在不更新模型的情况下识别新出现的未知病毒；对勒索病毒检测达到业界领先的检出率，包括影响广泛的WannaCry、BadRabbit等病毒；云+端联动，依托于深信服安全云脑基于海量大数据的运营分析，SAVE能够持续进化，不断更新模型并提升检测能力，从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。功能介绍行为分析检测引擎

传统静态引擎，是基于静态文件的检测方式，对于加密和混淆等代码级恶意对抗，轻易就被绕过。而基于行为的检测技术，实际上是让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。因此，不管使用哪种加密或混淆方法，都无法绕过检测。最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。功能介绍安全云脑检测引擎

针对最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等，秒级响应未知文件的检测结果。配置步骤配置病毒查杀策略下发病毒查杀扫描对病毒查杀结果进行处置配置思路病毒查杀策略打开【终端管理】->【策略中心】，选中具体分组即进入该组安全策略设置。配置介绍配置介绍病毒查杀策略配置介绍病毒查杀策略病毒查杀发现威胁文件后的三种处理动作标准处置：默认配置为标准处置。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置（确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理）严格处理：适用于严格保护场景，可能会存在一定误判。EDR检测的所有威胁文件均隔离处理。仅上报不处置：适用于有人值守且用户了解如何处置病毒的场景，需要人工分析上报的威胁日志进行处理。EDR检测的所有威胁文件仅上报安全日志，不隔离。扫描引擎默认没有启用行为引擎，如果电脑配置在CPU4核、内存4G以上可以启用所有引擎，低于此配置，建议保留默认配置。“开启高启发式扫描”后会提高病毒检出率，但也会增加误判，此配置项在多家厂商PK测试病毒检测率时使用，非此场景慎用。配置介绍病毒检测通过管理端下发查杀任务，选中需要查杀的终端，可以下发快速查杀或全盘查杀，如下图。配置介绍病毒检测通过EDR客户端也可以对这台终端进行查杀毒扫描，如下图。配置介绍病毒处置如果病毒查杀策略设置发现恶意文件的处置动作为“标准处置”或“仅上报，不处置”，则病毒查杀发现的威胁文件（未自动隔离的）可以由人工进行“处置”、“信任”和“忽略”处理，如下图。处置：对感染性病毒、宏病毒文件先进行修复，无法修复再进行隔离处理；其它类型病毒直接隔离。信任：如果检测出的威胁为正常文件，则可以添加为可信任。忽略：如果威胁在终端已自行处理，管理端不需要显示威胁日志，则可以设置为忽略。威胁分析：接入深信服安全中心，对威胁事件详细分析，进一步判断威胁文件影响。案例背景某项目同时有安全厂商A、安全厂商B、深信服EDR三家厂商参与，客户关注安全软件对病毒的检出能力，这种场景下，我们如何测试才能体现我们产品的检测能力。使用案例准备工作版本确认确认当前EDR的版本为3.2.16及以后版本样本提供

测试前需要确认测试样本如何提供，需提前准备好测试样本，一般有以下几种方式：我司提供样本友商提供样本客户提供样本我司、友商、客户各提供1/3样本使用案例测试方法1、设置病毒查杀策略打开EDR【终端管理】->【策略管理】，按如下图设置病毒查杀策略使用案例测试方法2、确认配置生效完成上述配置后，右键点击终端Agent托盘图标，如下图，说明当前查杀处于高启发式扫描”模式。3、对比查杀使用EDR客户端自定义查杀对病毒样本查行扫描查杀，对比不同厂商的检出率。使用案例注意事项通过管理端下发快速查杀任务，只对以下目录生效，所以在测试快速查杀时，样本需要放在以下目录：Linux快速查杀目录：Linux快扫目录/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查杀目录：/windows和/windows/system32本级目录，/windows/system32/drivers目录和其子目录杀毒扫描模式有“极速”、“均衡”和“低耗”三种模式，区别如下，建议使用“均衡”模式，不会因为资源占用影响客户业务。极速：全速扫描、不限制扫描软件自身的CPU占用率；均衡：扫描速度和CPU占用率达到一定平衡，限制CPU占用率不超过30%；低耗：扫描时尽量少占用CPU资源，限制CPU占用率不超过10%。病毒查杀文件实时监控目录需求背景为了保护业务安全，不仅要做到威胁发生后对威胁事件的及时检测与响应，更需要在威胁发生前进行相应预防和威胁发生的过程中做好相应的防护策略。这样才能在保护业务安全方面提供事前预防、事中防护、事后检测和响应的闭环解决方案。此次培训主要介绍在事中防护阶段文件实时监控如何保护业务安全。功能介绍文件实时监控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多种引擎，实时监控电脑上文件写入、读取和执行操作，当检测到威胁文件写入、读取、执行时，立即阻断相关操作，并进行告警。防止威胁文件落地、并进一步执行，从而保护业务安全。原理介绍文件实时监控通过SAVE人工智能引擎、基因特征引擎、云查引擎等多种引擎，实时检测文件并判定为黑白，流程图如右图。对WindowsServer和WindowsPC所在组启用文件实时监控策略。配置介绍配置介绍打开【终端管理】->【策略中心】，选中具体分组即进入该组实时防护设置。配置介绍防护级别高：监控文件打开、执行、落地动作中：监控文件执行、落地动作低：监控文件执行动作扫描引擎电脑性能足够，扫描引擎可以全开；性能不足，建议关闭基因特征引擎配置介绍发现恶意文件后的处置动作标准处置：默认配置为标准处置。根据病毒的类型和威胁程度，按系统预定义的处置方式对威胁文件进行处置（确认是病毒的自动隔离，可疑病毒的仅上报不隔离，由人工进一步分析处理）严格处理：适用于严格保护场景，可能会