17-EDR安装部署电子课件

EDR安装部署了解EDR产品的架构熟悉EDR管理平台的部署方法熟悉EDR客户端的安装与卸载方法教学目标产品架构MGR部署Agent部署Agent卸载目录总体架构EDR从系统架构上分为三层，基础平台层、核心引擎层以及功能展现层。基础平台层：负责提供集中管控，云查以及主机代理功能的基础能力。核心引擎层：负责提供病毒检测，威胁分析以及行为检测等能力。功能展现层：从预防、防御、检测、响应等四个方面，提供全面的安全防护体系。EDR从部署结构上分为云端、管理端（MGR）和客户端（Agent）三部分。云端：包括病毒库升级、云端查杀服务中心、安全情报中心。管理端：负责维护管理所有的Agent客户端。客户端：安装在终端的软件，对终端进行安全防护。部署结构云查服务中心病毒库升级中心安全情报中心EDR管理平台WindowsLinux云端管理端客户端产品架构MGR部署Agent部署Agent卸载目录场景：公司领导给了你一个软件，告诉你这个软件可以实现某些功能，需要你尽快安装上，投入使用思考：想要安装，你都需要了解什么？思考在安装部署EDR之前，需要进行系统兼容性确认硬件资源环境确认网络连通性确认部署准备EDR管理平台Agent客户端系统兼容性确认浏览器Mgr控制台IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系统（64位）Mgr控制台Centos7+YUbntul16+Y操作系统类型操作系统用户PC终端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服务器终端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系统类型操作系统linux服务器终端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系统类型操作系统国产Neokylin5.0x86（客户端版）Neokylin6.0x86（客户端版）Neokylin7.0x86（客户端版）银河麒麟4.0x64（客户端版）优麒麟18.0Agent客户端操作系统类型操作系统linux服务器终端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系统兼容性确认物理环境和虚拟化环境都需要符合以下硬件资源要求硬件资源环境确认终端数CPU（奔腾双核）内存磁盘1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T客户端（Agent）与管理平台（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。确保端口连通性。4430端口：Agent组件更新和病毒库更新。8083端口：Agent和管理端业务通信端口。54120端口：逃生端口，应急情况与Agent通信端口。完成Agent重启、卸载和脚本执行命令下发。ICMP：连通性探测客户端与管理平台网络连通性网络连通性确认管理平台与云端网络连通性（云脑）漏洞补丁相关：https://（云脑）接入云脑授权：https://（云脑）云查服务器：（云脑）云安全计划：（CDN）漏洞补丁、规则、病毒库地址：http://网络连通性确认MGR管理平台部署软件部署ISO镜像部署OVA模板部署硬件一体机部署管理平台部署ISO镜像部署基于CentOS系统镜像，其内嵌MGR安装包，即安装该ISO后，便自动部署MGR。优势：安装步骤简化。该ISO基于CentOS最新包定制，内嵌mgr安装包，只需一次安装即可，不再需要原有的mgr单独部署流程。安全性更高。该ISO在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。物理环境和虚拟化环境都支持安装。ISO镜像部署OVA模板部署是基于CentOS安装镜像，其内嵌MGR安装包，在虚拟化环境中，导入OVA模板，便自动部署MGR。优势：安装步骤简化。该OVA模板基于CentOS最新包定制，内嵌MGR安装包，只需一次安装即可，不再需要原有的MGR单独部署流程。安全性更高。该模板中的系统在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。OVA模板部署目前硬件EDR有两个型号EDR-1000-B600（最大支持管控1000点EDR客户端）和EDR-1000-C600（最大支持管控2500点EDR客户端）硬件一体机部署硬件一体机部署如图，EDR硬件设备eth0口旁路接到客户网络，确保EDR设备可以和内网终端连通即可。EDR硬件设备eth0口默认地址为51，默认登录控制台方式为51admin/admin产品架构MGR部署Agent部署Agent卸载目录部署方式（5种）：安装包部署、网页推广部署、AC联动部署、虚拟机模板部署、域控场景部署客户端Agent部署特别注意：EDR客户端与以下安全软件完全兼容使用。安装有非以下安全软件的电脑同时安装EDR客户端，支持在兼容模式下安装，但文件实时监控功能无法正常使用。EDR客户端Agent支持与金山毒霸、火绒（个人版）、QQ管家、瑞星个人版、奇安信天擎、360杀毒、360安全卫士、趋势深度安全、趋势officescan、赛门铁克等数10款安全软件兼容安装和使用适用场景管理员下载agent安装包，通过U盘等移动介质将其导入终端进行安装部署，最直接的部署方法安装包部署适用场景管理员发布部署通知的web页面，将发布页链接通过邮件、OA等方式发送至终端，终端用户自行下载agent安装包进行安装部署网页推广部署适用场景适用于同时购买了AC的客户，EDR和AC联动，当用户打开网页时，被AC重定向至下图安装Agent页面，直至终端成功安装AgentAC联动部署虚拟机模板部署适用场景适用于桌面办公环境或虚拟化环境，管理员在虚拟化平台提前做好含EDR客户端的虚拟机模板，根据需要进行派生成其它虚拟机域控部署适用场景终端受WindowsAD域控统一管理，可以通过域控组策略批量部署软件安装包进行静默安装。虚拟机模板部署与域控场景部署产品架构MGR部署Agent部署Agent卸载目录Agent卸载包括Windows客户端卸载和Linux客户端卸载客户端Agent卸载Windows客户端卸载有两种方式：终端卸载、MGR管理平台卸载Windows客户端卸载为了防止客户端被恶意卸载导致终端