《网络安全设备原理与应用》 课件 18-EDR终端管理(一);19-EDR终端管理(二)_第1页
《网络安全设备原理与应用》 课件 18-EDR终端管理(一);19-EDR终端管理(二)_第2页
《网络安全设备原理与应用》 课件 18-EDR终端管理(一);19-EDR终端管理(二)_第3页
《网络安全设备原理与应用》 课件 18-EDR终端管理(一);19-EDR终端管理(二)_第4页
《网络安全设备原理与应用》 课件 18-EDR终端管理(一);19-EDR终端管理(二)_第5页
已阅读5页,还剩45页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

EDR终端管理(一)掌握如何管理终端组织结构掌握EDR可以采集终端哪些信息,以及在实际场景中能够指导客户如何使用教学目标终端分组管理终端清点目录内网电脑数量多,不同部门电脑系统版本不一样、不同终端类型需要配置的安全策略也不一样,管理员缺少一种对全网电脑进行管理的方式、给运维带来不便。EDR终端分组是树形组织结构,能根据客户不同需求对终端进行灵活分组,如按业务部门、按终端类型(客户端和服务器)等进行分组,并且可以对各个分组配置个性化的安全策略,从而做到内网众多电脑进行分类管理、方便运维。需求背景需求背景分组不多的情况可以使用新增分组,如下图:新增分组分组数量多的情况,可以使用excel表格先制作好分组,再导入EDR,如下图:导入分组当需要根据IP地址自动上线到匹配的组,可以使用自动分组管理,如下图:自动分组导出分组/终端,对分组/终端进行备份或批量编辑,如下图:导出分组或终端终端分组管理终端清点目录对资产“看得清、理得清”已成为IT日常安全建设的重要内容,客户无需额外采购其他资产管理的软件,即可实现看清、理清终端信息。终端清点功能能够帮助管理员看清全网主机资产全貌,理清全网主机风险暴露面,从而削减全网主机攻击面。需求背景终端清点是由EDR客户端读取终端操作系统信息、已安装的应用软件信息、开放的监听端口信息、终端的系统账户信息和终端硬件信息,上报给EDR管理平台进行集中展示和分析。原理介绍操作系统信息安装软件信息开放端口信息系统账户信息终端硬件信息EDR客户端EDR管理平台采集上报集中分析展示功能介绍:清点终端操作系统功能介绍:清点终端应用软件功能介绍:清点终端监听端口功能介绍:清点终端帐户功能介绍:清点终端基本信息终端详情可以展示终端操作系统、CPU、内存占用情况,终端基本信息、运行信息、应用软件和监听端口信息等,如下图:应用场景1:全网非授权软件使用统计IT管理员可以通过应用软件清点了解全网主机所安装软件是否都符合单位授权要求。如下图所示,通过“终端清点”->“应用软件”页面,管理员可以根据软件类型、软件厂商搜索单位全网哪些主机安装了单位禁止使用的软件,如某个厂商(如中天xxxx公司)的某款非正版软件(如software3)。应用场景1:全网非授权软件使用统计点击上图“终端数量”列的数字,管理员可以查看所有安装了这款软件的主机详情,可以通知主机进行整改,如下图所示。应用场景2:全网主机风险账户梳理IT管理员可以通过“终端清点”->“终端账户”页面,全局了解企业内网主机的账号风险情况(如是否存在隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号等),如下图所示:应用场景2:全网主机风险账户梳理可以将存在风险账号的主机导出excel表格,并通过邮件或其他方式通知相关责任人进行自查和整改(或配合EDR的主机隔离功能,对未能在规定时间内整改完成的主机进行断网隔离)。应用场景3:统一封堵风险端口通过监听端口功能,可以将管理终端所监听的端口进行统计并展示,同时针对风险端口有特殊的展示效果应用场景3:统一封堵风险端口针对风险端口,可对其进行统一封堵或接触封堵终端分组管理终端清点总结EDR终端管理(二)掌握EDR终端发现功能使用掌握EDR基线检查功能使用掌握EDR远程协助功能使用教学目标终端发现终端基线检查远程协助目录终端电脑数量很多的情况下,管理员很难知道哪些终端未安装EDR客户端进行防护,从而带来潜在的安全风险。终端发现功能可以帮助管理员发现内网没有安装EDR客户端的电脑,及时做好安全防护,降低风险暴露面。需求背景EDR集成了Nmap扫描工具实现终端发现功能。管理员触发内网扫描(Nmap扫描)对内网终端进行活跃探测,扫描返回结果中的IP说明主机是活跃的,EDR将活跃的主机IP和EDR管理平台中在线的终端IP比较,得出EDR管理平台中不存在的活跃主机即为未安装EDR客户端的终端。原理介绍EDR管理平台安装EDR客户端的Linux服务器发起Nmap全网扫描活跃主机PC1PC2PC3PC4........................PCn活跃主机与EDR管理平台中的终端比较EDR管理平台存在以下终端PC1PC2EDR管理平台不存在以下终端PC3PC4已安装EDR客户端PC1PC2未安装EDR客户端PC3PC4已安装EDR客户端未安装EDR客户端注:内网使用终端发现功能可能会导致内网安全设备识别为异常扫描行为,需要提前和客户沟通功能介绍发起扫描设备”可以设置由EDR管理平台发起扫描,或由已经安装了EDR客户端的Linux终端发起扫描(不能是windows客户端)。如果扫描范围大,为了增加扫描速度,建议设置由多个已经安装了EDR客户端的Linux终端发起扫描。功能介绍终端发现终端基线检查远程协助目录需求背景信息安全等级保护标准已经成为国内企业信息安全建设的标准。国家规定,有些行业(如金融、教育、能源、电商等)是有要求自己的信息安全建设过等保测评的。等保从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等方面对信息安全建设都做了相应的规范要求。如果客户业务系统需要准备等保测评,那么业务系统当前安全状态与等保安全要求之间的差距在哪里,需要帮助客户梳理出来,进行整改。EDR的基线检查功能是根据三级等保合规性要求对windows和linux系统进行合规性检查,帮助客户发现内网不合规终端及不合规项,并提供加固整改建议。功能介绍基线检查能够对Windows和Linux系统的以下5项安全策略进行合规性检查:功能介绍每项安全策略检查的具体内容如下,检查到具体内容不符合安全性要求时,则以红色显示,始下图,红色显示内容为不合规项。功能介绍基线检查设置如下,可以对指定的终端(windows或linux)进行检查。功能介绍基线检查的效果如下,列出具体不合规项,并提供加固文档。终端发现终端基线检查远程协助目录需求背景

当被管控的终端出现故障时,管理员需要远程协助功能对终端进行远程控制,快速、安全的响应解决终端问题。原理介绍基于远程控制开源软件UltraVNC(分为客户端和服务端),EDR客户端默认附带UltraVNC服务端程序。通过在EDR管理平台发起远程,下载运行UltraVNC客户端程序,输入被远程端的IP、端口以及授权码即可实现远程控制。功能介绍远程协助功能当前支持WinXPsp3,Win7和Win10系统,下面介绍使用方法策略中心-桌面管控,支持是否需要终端用户同意功能介绍远程协助功能当前支持WinXPsp3,Win7和Win10系统,下面介绍使用方法选中被控制电脑,发起远程协助功能介绍发起控制电脑上下载vnc-viewer,如果已下载,跳过此步。被控制电脑接受管理员控制请求,允许控制功能介绍功能介绍生成授权码和随机端口功能介绍发起远程的电脑通过vnc-viewer输入被控制电脑IP、端口、授权码进行远程协助注意事项1、远程协助只支持远程端和被远程终端网络互通的情况下使用,NA

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论