《网络安全设备原理与应用》 课件 17-EDR安装部署；18-EDR终端管理（一）

EDR安装部署了解EDR产品的架构熟悉EDR管理平台的部署方法熟悉EDR客户端的安装与卸载方法教学目标产品架构MGR部署Agent部署Agent卸载目录总体架构EDR从系统架构上分为三层，基础平台层、核心引擎层以及功能展现层。基础平台层：负责提供集中管控，云查以及主机代理功能的基础能力。核心引擎层：负责提供病毒检测，威胁分析以及行为检测等能力。功能展现层：从预防、防御、检测、响应等四个方面，提供全面的安全防护体系。EDR从部署结构上分为云端、管理端（MGR）和客户端（Agent）三部分。云端：包括病毒库升级、云端查杀服务中心、安全情报中心。管理端：负责维护管理所有的Agent客户端。客户端：安装在终端的软件，对终端进行安全防护。部署结构云查服务中心病毒库升级中心安全情报中心EDR管理平台WindowsLinux云端管理端客户端产品架构MGR部署Agent部署Agent卸载目录场景：公司领导给了你一个软件，告诉你这个软件可以实现某些功能，需要你尽快安装上，投入使用思考：想要安装，你都需要了解什么？思考在安装部署EDR之前，需要进行系统兼容性确认硬件资源环境确认网络连通性确认部署准备EDR管理平台Agent客户端系统兼容性确认浏览器Mgr控制台IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系统（64位）Mgr控制台Centos7+YUbntul16+Y操作系统类型操作系统用户PC终端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服务器终端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系统类型操作系统linux服务器终端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系统类型操作系统国产Neokylin5.0x86（客户端版）Neokylin6.0x86（客户端版）Neokylin7.0x86（客户端版）银河麒麟4.0x64（客户端版）优麒麟18.0Agent客户端操作系统类型操作系统linux服务器终端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系统兼容性确认物理环境和虚拟化环境都需要符合以下硬件资源要求硬件资源环境确认终端数CPU（奔腾双核）内存磁盘1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T客户端（Agent）与管理平台（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。确保端口连通性。4430端口：Agent组件更新和病毒库更新。8083端口：Agent和管理端业务通信端口。54120端口：逃生端口，应急情况与Agent通信端口。完成Agent重启、卸载和脚本执行命令下发。ICMP：连通性探测客户端与管理平台网络连通性网络连通性确认管理平台与云端网络连通性（云脑）漏洞补丁相关：https://（云脑）接入云脑授权：https://（云脑）云查服务器：（云脑）云安全计划：（CDN）漏洞补丁、规则、病毒库地址：http://网络连通性确认MGR管理平台部署软件部署ISO镜像部署OVA模板部署硬件一体机部署管理平台部署ISO镜像部署基于CentOS系统镜像，其内嵌MGR安装包，即安装该ISO后，便自动部署MGR。优势：安装步骤简化。该ISO基于CentOS最新包定制，内嵌mgr安装包，只需一次安装即可，不再需要原有的mgr单独部署流程。安全性更高。该ISO在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。物理环境和虚拟化环境都支持安装。ISO镜像部署OVA模板部署是基于CentOS安装镜像，其内嵌MGR安装包，在虚拟化环境中，导入OVA模板，便自动部署MGR。优势：安装步骤简化。该OVA模板基于CentOS最新包定制，内嵌MGR安装包，只需一次安装即可，不再需要原有的MGR单独部署流程。安全性更高。该模板中的系统在发布前已经过多种渗透扫描，安装了最新系统补丁，可以消除客户因使用存在漏洞的第三方系统（较为老旧，没有维护的Linux系统）引入的安全问题。OVA模板部署目前硬件EDR有两个型号EDR-1000-B600（最大支持管控1000点EDR客户端）和EDR-1000-C600（最大支持管控2500点EDR客户端）硬件一体机部署硬件一体机部署如图，EDR硬件设备eth0口旁路接到客户网络，确保EDR设备可以和内网终端连通即可。EDR硬件设备eth0口默认地址为51，默认登录控制台方式为51admin/admin产品架构MGR部署Agent部署Agent卸载目录部署方式（5种）：安装包部署、网页推广部署、AC联动部署、虚拟机模板部署、域控场景部署客户端Agent部署特别注意：EDR客户端与以下安全软件完全兼容使用。安装有非以下安全软件的电脑同时安装EDR客户端，支持在兼容模式下安装，但文件实时监控功能无法正常使用。EDR客户端Agent支持与金山毒霸、火绒（个人版）、QQ管家、瑞星个人版、奇安信天擎、360杀毒、360安全卫士、趋势深度安全、趋势officescan、赛门铁克等数10款安全软件兼容安装和使用适用场景管理员下载agent安装包，通过U盘等移动介质将其导入终端进行安装部署，最直接的部署方法安装包部署适用场景管理员发布部署通知的web页面，将发布页链接通过邮件、OA等方式发送至终端，终端用户自行下载agent安装包进行安装部署网页推广部署适用场景适用于同时购买了AC的客户，EDR和AC联动，当用户打开网页时，被AC重定向至下图安装Agent页面，直至终端成功安装AgentAC联动部署虚拟机模板部署适用场景适用于桌面办公环境或虚拟化环境，管理员在虚拟化平台提前做好含EDR客户端的虚拟机模板，根据需要进行派生成其它虚拟机域控部署适用场景终端受WindowsAD域控统一管理，可以通过域控组策略批量部署软件安装包进行静默安装。虚拟机模板部署与域控场景部署产品架构MGR部署Agent部署Agent卸载目录Agent卸载包括Windows客户端卸载和Linux客户端卸载客户端Agent卸载Windows客户端卸载有两种方式：终端卸载、MGR管理平台卸载Windows客户端卸载为了防止客户端被恶意卸载导致终端得不到安全防护，所以从终端卸载Agent时，需要先获取防卸载密码（防卸载密码由管理员在管理平台设置）。Windows客户端卸载Linux客户端卸载有两种方式：终端卸载、MGR管理平台卸载Linux终端是无图形化界面的，所以从Linux终端卸载或从MGR管理平台卸载均无需卸载密码。Linux客户端卸载产品架构MGR部署Agent部署Agent卸载总结EDR终端管理（一）掌握如何管理终端组织结构掌握EDR可以采集终端哪些信息，以及在实际场景中能够指导客户如何使用教学目标终端分组管理终端清点目录内网电脑数量多，不同部门电脑系统版本不一样、不同终端类型需要配置的安全策略也不一样，管理员缺少一种对全网电脑进行管理的方式、给运维带来不便。EDR终端分组是树形组织结构，能根据客户不同需求对终端进行灵活分组，如按业务部门、按终端类型（客户端和服务器）等进行分组，并且可以对各个分组配置个性化的安全策略，从而做到内网众多电脑进行分类管理、方便运维。需求背景需求背景分组不多的情况可以使用新增分组，如下图：新增分组分组数量多的情况，可以使用excel表格先制作好分组，再导入EDR，如下图：导入分组当需要根据IP地址自动上线到匹配的组，可以使用自动分组管理，如下图：自动分组导出分组/终端，对分组/终端进行备份或批量编辑，如下图：导出分组或终端终端分组管理终端清点目录对资产“看得清、理得清”已成为IT日常安全建设的重要内容，客户无需额外采购其他资产管理的软件，即可实现看清、理清终端信息。终端清点功能能够帮助管理员看清全网主机资产全貌，理清全网主机风险暴露面，从而削减全网主机攻击面。需求背景终端清点是由EDR客户端读取终端操作系统信息、已安装的应用软件信息、开放的监听端口信息、终端的系统账户信息和终端硬件信息，上报给EDR管理平台进行集中展示和分析。原理介绍操作系统信息安装软件信息开放端口信息系统账户信息终端硬件信息EDR客户端EDR管理平台采集上报集中分析展示功能介绍：清点终端操作系统功能介绍：清点终端应用软件功能介绍：清点终端监听端口功能介绍：清点终端帐户功能介绍：清点终端基本信息终端详情可以展示终端操作系统、CPU、内存占用情况，终端基本信息、运行信息、应用软件和监听端口信息等，如下图:应用场景1：全网非授权软件使用统计IT管理员可以通过应用软件清点了解全网主机所安装软件是否都符合单位授权要求。如下图所示，通过“终端清点”->“应用软件”页面，管理员可以根据软件类型、软件厂商搜索单位全网哪些主机安装了单位禁止使用的软件，如某个厂商（如中天xxxx公司）的某款非正版软件（如software3）。应用场景1：全网非授权软件使用统计点击上图“终端数量”列的数字，管理员可以查看所有安装了这款软件的主机详情，可以通知主机进行整改，如下图所示。应用场景2：全网主机风险账户梳理IT管理员可以通过“终端清点”->“终端账户”页面，全局了解企业内网主机的账号风险