《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 17-EDR安裝部署；18-EDR終端管理（一）

EDR安裝部署了解EDR產(chǎn)品的架構(gòu)熟悉EDR管理平臺(tái)的部署方法熟悉EDR客戶端的安裝與卸載方法教學(xué)目標(biāo)產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄總體架構(gòu)EDR從系統(tǒng)架構(gòu)上分為三層，基礎(chǔ)平臺(tái)層、核心引擎層以及功能展現(xiàn)層。基礎(chǔ)平臺(tái)層：負(fù)責(zé)提供集中管控，云查以及主機(jī)代理功能的基礎(chǔ)能力。核心引擎層：負(fù)責(zé)提供病毒檢測(cè)，威脅分析以及行為檢測(cè)等能力。功能展現(xiàn)層：從預(yù)防、防御、檢測(cè)、響應(yīng)等四個(gè)方面，提供全面的安全防護(hù)體系。EDR從部署結(jié)構(gòu)上分為云端、管理端（MGR）和客戶端（Agent）三部分。云端：包括病毒庫升級(jí)、云端查殺服務(wù)中心、安全情報(bào)中心。管理端：負(fù)責(zé)維護(hù)管理所有的Agent客戶端?？蛻舳耍喊惭b在終端的軟件，對(duì)終端進(jìn)行安全防護(hù)。部署結(jié)構(gòu)云查服務(wù)中心病毒庫升級(jí)中心安全情報(bào)中心EDR管理平臺(tái)WindowsLinux云端管理端客戶端產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄場(chǎng)景：公司領(lǐng)導(dǎo)給了你一個(gè)軟件，告訴你這個(gè)軟件可以實(shí)現(xiàn)某些功能，需要你盡快安裝上，投入使用思考：想要安裝，你都需要了解什么？思考在安裝部署EDR之前，需要進(jìn)行系統(tǒng)兼容性確認(rèn)硬件資源環(huán)境確認(rèn)網(wǎng)絡(luò)連通性確認(rèn)部署準(zhǔn)備EDR管理平臺(tái)Agent客戶端系統(tǒng)兼容性確認(rèn)瀏覽器Mgr控制臺(tái)IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系統(tǒng)（64位）Mgr控制臺(tái)Centos7+YUbntul16+Y操作系統(tǒng)類型操作系統(tǒng)用戶PC終端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服務(wù)器終端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系統(tǒng)類型操作系統(tǒng)國產(chǎn)Neokylin5.0x86（客戶端版）Neokylin6.0x86（客戶端版）Neokylin7.0x86（客戶端版）銀河麒麟4.0x64（客戶端版）優(yōu)麒麟18.0Agent客戶端操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系統(tǒng)兼容性確認(rèn)物理環(huán)境和虛擬化環(huán)境都需要符合以下硬件資源要求硬件資源環(huán)境確認(rèn)終端數(shù)CPU（奔騰雙核）內(nèi)存磁盤1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服務(wù)器作為漏洞補(bǔ)丁服務(wù)器，磁盤大小推薦配置為1T客戶端（Agent）與管理平臺(tái)（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。確保端口連通性。4430端口：Agent組件更新和病毒庫更新。8083端口：Agent和管理端業(yè)務(wù)通信端口。54120端口：逃生端口，應(yīng)急情況與Agent通信端口。完成Agent重啟、卸載和腳本執(zhí)行命令下發(fā)。ICMP：連通性探測(cè)客戶端與管理平臺(tái)網(wǎng)絡(luò)連通性網(wǎng)絡(luò)連通性確認(rèn)管理平臺(tái)與云端網(wǎng)絡(luò)連通性（云腦）漏洞補(bǔ)丁相關(guān)：https://（云腦）接入云腦授權(quán)：https://（云腦）云查服務(wù)器：（云腦）云安全計(jì)劃：（CDN）漏洞補(bǔ)丁、規(guī)則、病毒庫地址：http://網(wǎng)絡(luò)連通性確認(rèn)MGR管理平臺(tái)部署軟件部署ISO鏡像部署OVA模板部署硬件一體機(jī)部署管理平臺(tái)部署ISO鏡像部署基于CentOS系統(tǒng)鏡像，其內(nèi)嵌MGR安裝包，即安裝該ISO后，便自動(dòng)部署MGR。優(yōu)勢(shì)：安裝步驟簡化。該ISO基于CentOS最新包定制，內(nèi)嵌mgr安裝包，只需一次安裝即可，不再需要原有的mgr單獨(dú)部署流程。安全性更高。該ISO在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。物理環(huán)境和虛擬化環(huán)境都支持安裝。ISO鏡像部署OVA模板部署是基于CentOS安裝鏡像，其內(nèi)嵌MGR安裝包，在虛擬化環(huán)境中，導(dǎo)入OVA模板，便自動(dòng)部署MGR。優(yōu)勢(shì)：安裝步驟簡化。該OVA模板基于CentOS最新包定制，內(nèi)嵌MGR安裝包，只需一次安裝即可，不再需要原有的MGR單獨(dú)部署流程。安全性更高。該模板中的系統(tǒng)在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。OVA模板部署目前硬件EDR有兩個(gè)型號(hào)EDR-1000-B600（最大支持管控1000點(diǎn)EDR客戶端）和EDR-1000-C600（最大支持管控2500點(diǎn)EDR客戶端）硬件一體機(jī)部署硬件一體機(jī)部署如圖，EDR硬件設(shè)備eth0口旁路接到客戶網(wǎng)絡(luò)，確保EDR設(shè)備可以和內(nèi)網(wǎng)終端連通即可。EDR硬件設(shè)備eth0口默認(rèn)地址為51，默認(rèn)登錄控制臺(tái)方式為51admin/admin產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄部署方式（5種）：安裝包部署、網(wǎng)頁推廣部署、AC聯(lián)動(dòng)部署、虛擬機(jī)模板部署、域控場(chǎng)景部署客戶端Agent部署特別注意：EDR客戶端與以下安全軟件完全兼容使用。安裝有非以下安全軟件的電腦同時(shí)安裝EDR客戶端，支持在兼容模式下安裝，但文件實(shí)時(shí)監(jiān)控功能無法正常使用。EDR客戶端Agent支持與金山毒霸、火絨（個(gè)人版）、QQ管家、瑞星個(gè)人版、奇安信天擎、360殺毒、360安全衛(wèi)士、趨勢(shì)深度安全、趨勢(shì)officescan、賽門鐵克等數(shù)10款安全軟件兼容安裝和使用適用場(chǎng)景管理員下載agent安裝包，通過U盤等移動(dòng)介質(zhì)將其導(dǎo)入終端進(jìn)行安裝部署，最直接的部署方法安裝包部署適用場(chǎng)景管理員發(fā)布部署通知的web頁面，將發(fā)布頁鏈接通過郵件、OA等方式發(fā)送至終端，終端用戶自行下載agent安裝包進(jìn)行安裝部署網(wǎng)頁推廣部署適用場(chǎng)景適用于同時(shí)購買了AC的客戶，EDR和AC聯(lián)動(dòng)，當(dāng)用戶打開網(wǎng)頁時(shí)，被AC重定向至下圖安裝Agent頁面，直至終端成功安裝AgentAC聯(lián)動(dòng)部署虛擬機(jī)模板部署適用場(chǎng)景適用于桌面辦公環(huán)境或虛擬化環(huán)境，管理員在虛擬化平臺(tái)提前做好含EDR客戶端的虛擬機(jī)模板，根據(jù)需要進(jìn)行派生成其它虛擬機(jī)域控部署適用場(chǎng)景終端受WindowsAD域控統(tǒng)一管理，可以通過域控組策略批量部署軟件安裝包進(jìn)行靜默安裝。虛擬機(jī)模板部署與域控場(chǎng)景部署產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄Agent卸載包括Windows客戶端卸載和Linux客戶端卸載客戶端Agent卸載Windows客戶端卸載有兩種方式：終端卸載、MGR管理平臺(tái)卸載Windows客戶端卸載為了防止客戶端被惡意卸載導(dǎo)致終端得不到安全防護(hù)，所以從終端卸載Agent時(shí)，需要先獲取防卸載密碼（防卸載密碼由管理員在管理平臺(tái)設(shè)置）。Windows客戶端卸載Linux客戶端卸載有兩種方式：終端卸載、MGR管理平臺(tái)卸載Linux終端是無圖形化界面的，所以從Linux終端卸載或從MGR管理平臺(tái)卸載均無需卸載密碼。Linux客戶端卸載產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載總結(jié)EDR終端管理（一）掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實(shí)際場(chǎng)景中能夠指導(dǎo)客戶如何使用教學(xué)目標(biāo)終端分組管理終端清點(diǎn)目錄內(nèi)網(wǎng)電腦數(shù)量多，不同部門電腦系統(tǒng)版本不一樣、不同終端類型需要配置的安全策略也不一樣，管理員缺少一種對(duì)全網(wǎng)電腦進(jìn)行管理的方式、給運(yùn)維帶來不便。EDR終端分組是樹形組織結(jié)構(gòu)，能根據(jù)客戶不同需求對(duì)終端進(jìn)行靈活分組，如按業(yè)務(wù)部門、按終端類型（客戶端和服務(wù)器）等進(jìn)行分組，并且可以對(duì)各個(gè)分組配置個(gè)性化的安全策略，從而做到內(nèi)網(wǎng)眾多電腦進(jìn)行分類管理、方便運(yùn)維。需求背景需求背景分組不多的情況可以使用新增分組，如下圖：新增分組分組數(shù)量多的情況，可以使用excel表格先制作好分組，再導(dǎo)入EDR，如下圖：導(dǎo)入分組當(dāng)需要根據(jù)IP地址自動(dòng)上線到匹配的組，可以使用自動(dòng)分組管理，如下圖：自動(dòng)分組導(dǎo)出分組/終端，對(duì)分組/終端進(jìn)行備份或批量編輯，如下圖：導(dǎo)出分組或終端終端分組管理終端清點(diǎn)目錄對(duì)資產(chǎn)“看得清、理得清”已成為IT日常安全建設(shè)的重要內(nèi)容，客戶無需額外采購其他資產(chǎn)管理的軟件，即可實(shí)現(xiàn)看清、理清終端信息。終端清點(diǎn)功能能夠幫助管理員看清全網(wǎng)主機(jī)資產(chǎn)全貌，理清全網(wǎng)主機(jī)風(fēng)險(xiǎn)暴露面，從而削減全網(wǎng)主機(jī)攻擊面。需求背景終端清點(diǎn)是由EDR客戶端讀取終端操作系統(tǒng)信息、已安裝的應(yīng)用軟件信息、開放的監(jiān)聽端口信息、終端的系統(tǒng)賬戶信息和終端硬件信息，上報(bào)給EDR管理平臺(tái)進(jìn)行集中展示和分析。原理介紹操作系統(tǒng)信息安裝軟件信息開放端口信息系統(tǒng)賬戶信息終端硬件信息EDR客戶端EDR管理平臺(tái)采集上報(bào)集中分析展示功能介紹：清點(diǎn)終端操作系統(tǒng)功能介紹：清點(diǎn)終端應(yīng)用軟件功能介紹：清點(diǎn)終端監(jiān)聽端口功能介紹：清點(diǎn)終端帳戶功能介紹：清點(diǎn)終端基本信息終端詳情可以展示終端操作系統(tǒng)、CPU、內(nèi)存占用情況，終端基本信息、運(yùn)行信息、應(yīng)用軟件和監(jiān)聽端口信息等，如下圖:應(yīng)用場(chǎng)景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)IT管理員可以通過應(yīng)用軟件清點(diǎn)了解全網(wǎng)主機(jī)所安裝軟件是否都符合單位授權(quán)要求。如下圖所示，通過“終端清點(diǎn)”->“應(yīng)用軟件”頁面，管理員可以根據(jù)軟件類型、軟件廠商搜索單位全網(wǎng)哪些主機(jī)安裝了單位禁止使用的軟件，如某個(gè)廠商（如中天xxxx公司）的某款非正版軟件（如software3）。應(yīng)用場(chǎng)景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)點(diǎn)擊上圖“終端數(shù)量”列的數(shù)字，管理員可以查看所有安裝了這款軟件的主機(jī)詳情，可以通知主機(jī)進(jìn)行整改，如下圖所示。應(yīng)用場(chǎng)景2：全網(wǎng)主機(jī)風(fēng)險(xiǎn)賬戶梳理IT管理員可以通過“終端清點(diǎn)”->“終端賬戶”頁面，全局了解企業(yè)內(nèi)網(wǎng)主機(jī)的賬號(hào)風(fēng)險(xiǎn)