17-EDR安裝部署電子課件

EDR安裝部署了解EDR產(chǎn)品的架構(gòu)熟悉EDR管理平臺的部署方法熟悉EDR客戶端的安裝與卸載方法教學目標產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄總體架構(gòu)EDR從系統(tǒng)架構(gòu)上分為三層，基礎(chǔ)平臺層、核心引擎層以及功能展現(xiàn)層?；A(chǔ)平臺層：負責提供集中管控，云查以及主機代理功能的基礎(chǔ)能力。核心引擎層：負責提供病毒檢測，威脅分析以及行為檢測等能力。功能展現(xiàn)層：從預防、防御、檢測、響應(yīng)等四個方面，提供全面的安全防護體系。EDR從部署結(jié)構(gòu)上分為云端、管理端（MGR）和客戶端（Agent）三部分。云端：包括病毒庫升級、云端查殺服務(wù)中心、安全情報中心。管理端：負責維護管理所有的Agent客戶端?？蛻舳耍喊惭b在終端的軟件，對終端進行安全防護。部署結(jié)構(gòu)云查服務(wù)中心病毒庫升級中心安全情報中心EDR管理平臺WindowsLinux云端管理端客戶端產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄場景：公司領(lǐng)導給了你一個軟件，告訴你這個軟件可以實現(xiàn)某些功能，需要你盡快安裝上，投入使用思考：想要安裝，你都需要了解什么？思考在安裝部署EDR之前，需要進行系統(tǒng)兼容性確認硬件資源環(huán)境確認網(wǎng)絡(luò)連通性確認部署準備EDR管理平臺Agent客戶端系統(tǒng)兼容性確認瀏覽器Mgr控制臺IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系統(tǒng)（64位）Mgr控制臺Centos7+YUbntul16+Y操作系統(tǒng)類型操作系統(tǒng)用戶PC終端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服務(wù)器終端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系統(tǒng)類型操作系統(tǒng)國產(chǎn)Neokylin5.0x86（客戶端版）Neokylin6.0x86（客戶端版）Neokylin7.0x86（客戶端版）銀河麒麟4.0x64（客戶端版）優(yōu)麒麟18.0Agent客戶端操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系統(tǒng)兼容性確認物理環(huán)境和虛擬化環(huán)境都需要符合以下硬件資源要求硬件資源環(huán)境確認終端數(shù)CPU（奔騰雙核）內(nèi)存磁盤1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服務(wù)器作為漏洞補丁服務(wù)器，磁盤大小推薦配置為1T客戶端（Agent）與管理平臺（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。確保端口連通性。4430端口：Agent組件更新和病毒庫更新。8083端口：Agent和管理端業(yè)務(wù)通信端口。54120端口：逃生端口，應(yīng)急情況與Agent通信端口。完成Agent重啟、卸載和腳本執(zhí)行命令下發(fā)。ICMP：連通性探測客戶端與管理平臺網(wǎng)絡(luò)連通性網(wǎng)絡(luò)連通性確認管理平臺與云端網(wǎng)絡(luò)連通性（云腦）漏洞補丁相關(guān)：https://（云腦）接入云腦授權(quán)：https://（云腦）云查服務(wù)器：（云腦）云安全計劃：（CDN）漏洞補丁、規(guī)則、病毒庫地址：http://網(wǎng)絡(luò)連通性確認MGR管理平臺部署軟件部署ISO鏡像部署OVA模板部署硬件一體機部署管理平臺部署ISO鏡像部署基于CentOS系統(tǒng)鏡像，其內(nèi)嵌MGR安裝包，即安裝該ISO后，便自動部署MGR。優(yōu)勢：安裝步驟簡化。該ISO基于CentOS最新包定制，內(nèi)嵌mgr安裝包，只需一次安裝即可，不再需要原有的mgr單獨部署流程。安全性更高。該ISO在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護的Linux系統(tǒng)）引入的安全問題。物理環(huán)境和虛擬化環(huán)境都支持安裝。ISO鏡像部署OVA模板部署是基于CentOS安裝鏡像，其內(nèi)嵌MGR安裝包，在虛擬化環(huán)境中，導入OVA模板，便自動部署MGR。優(yōu)勢：安裝步驟簡化。該OVA模板基于CentOS最新包定制，內(nèi)嵌MGR安裝包，只需一次安裝即可，不再需要原有的MGR單獨部署流程。安全性更高。該模板中的系統(tǒng)在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護的Linux系統(tǒng)）引入的安全問題。OVA模板部署目前硬件EDR有兩個型號EDR-1000-B600（最大支持管控1000點EDR客戶端）和EDR-1000-C600（最大支持管控2500點EDR客戶端）硬件一體機部署硬件一體機部署如圖，EDR硬件設(shè)備eth0口旁路接到客戶網(wǎng)絡(luò)，確保EDR設(shè)備可以和內(nèi)網(wǎng)終端連通即可。EDR硬件設(shè)備eth0口默認地址為51，默認登錄控制臺方式為51admin/admin產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄部署方式（5種）：安裝包部署、網(wǎng)頁推廣部署、AC聯(lián)動部署、虛擬機模板部署、域控場景部署客戶端Agent部署特別注意：EDR客戶端與以下安全軟件完全兼容使用。安裝有非以下安全軟件的電腦同時安裝EDR客戶端，支持在兼容模式下安裝，但文件實時監(jiān)控功能無法正常使用。EDR客戶端Agent支持與金山毒霸、火絨（個人版）、QQ管家、瑞星個人版、奇安信天擎、360殺毒、360安全衛(wèi)士、趨勢深度安全、趨勢officescan、賽門鐵克等數(shù)10款安全軟件兼容安裝和使用適用場景管理員下載agent安裝包，通過U盤等移動介質(zhì)將其導入終端進行安裝部署，最直接的部署方法安裝包部署適用場景管理員發(fā)布部署通知的web頁面，將發(fā)布頁鏈接通過郵件、OA等方式發(fā)送至終端，終端用戶自行下載agent安裝包進行安裝部署網(wǎng)頁推廣部署適用場景適用于同時購買了AC的客戶，EDR和AC聯(lián)動，當用戶打開網(wǎng)頁時，被AC重定向至下圖安裝Agent頁面，直至終端成功安裝AgentAC聯(lián)動部署虛擬機模板部署適用場景適用于桌面辦公環(huán)境或虛擬化環(huán)境，管理員在虛擬化平臺提前做好含EDR客戶端的虛擬機模板，根據(jù)需要進行派生成其它虛擬機域控部署適用場景終端受WindowsAD域控統(tǒng)一管理，可以通過域控組策略批量部署軟件安裝包進行靜默安裝。虛擬機模板部署與域控場景部署產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄Agent卸載包括Windows客戶端卸載和Linux客戶端卸載客戶端Agent卸載Windows客戶端卸載有兩種方式：終端卸載、MGR管理平臺卸載Windows客戶端卸載為了防止客戶端被惡意卸載導致終端