20-EDR策略中心（一）電子課件

EDR策略中心（一）整體了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同終端有哪些安全策略掌握病毒查殺、文件實時監(jiān)控策略的配置和使用教學(xué)目標(biāo)客戶選擇EDR是為了給終端提供一套完整的安全解決方案，保護(hù)內(nèi)網(wǎng)服務(wù)器和PC的安全。EDR提供基本策略、病毒查殺、實時防護(hù)、安全加固、信任名單和漏洞修復(fù)等安全策略幫助用戶保護(hù)內(nèi)網(wǎng)主機(jī)安全。打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。需求背景病毒查殺文件實時監(jiān)控目錄需求背景以勒索軟件為首的惡意軟件讓政企用戶深受其害2019年“網(wǎng)絡(luò)攻擊千千萬勒索病毒占一半”

GandCrab勒索病毒攻擊我國政企內(nèi)網(wǎng)2019-03易到用車核心服務(wù)器被勒索病毒攻擊2019-05著名飛機(jī)零件供應(yīng)商ASCO遭遇勒索病毒攻擊2019-062019-09國內(nèi)某大型建筑設(shè)計有限公司遭到勒索病毒攻擊分布式團(tuán)隊作戰(zhàn)按勞分配多勞多得高度專業(yè)化2020年勒索病毒攻擊預(yù)測

企業(yè)

政府單位

醫(yī)療行業(yè)

公共機(jī)構(gòu)目標(biāo)集中化數(shù)據(jù)加密與數(shù)據(jù)竊取雙重攻擊不止于加密對整個文件進(jìn)行哈希，基于MD5、SHA1進(jìn)行檢測階段一：哈希運(yùn)算提取病毒特征碼，基于特征庫進(jìn)行檢測階段二：病毒特征碼分析師對病毒的排查經(jīng)驗總結(jié)為自動化的檢測程序階段三：啟發(fā)式檢測基于哈希運(yùn)算和病毒特征碼的特點，靜態(tài)特征與病毒需一一對應(yīng)網(wǎng)絡(luò)空間安全已成國家安全戰(zhàn)略高地人才缺口巨大需要大量專業(yè)安全人才持續(xù)整理從2007年病毒數(shù)量開始爆發(fā)式增長新病毒變種持續(xù)增多，變種成本持續(xù)減小基于病毒特征庫方式進(jìn)行殺毒高級威脅持續(xù)產(chǎn)生，呈被動，后知后覺特點后知后覺本地病毒特征庫有限特征庫數(shù)量與已知病毒樣本不匹配天生受限特征數(shù)量不斷增多加重終端資源以及運(yùn)算成本資源加重依賴云端查殺反饋結(jié)果殺軟依賴云查殺，隔離網(wǎng)環(huán)境檢測能力驟降依賴性大基于AI的檢測技術(shù)可以解決以上問題檢測技術(shù)進(jìn)入第四階段未知威脅層出不窮，傳統(tǒng)特征殺毒趨近失效需求背景功能介紹文件信譽(yù)檢測引擎基因特征檢測引擎行為分析檢測引擎人工智能檢測引擎安全云腦檢測引擎文件信譽(yù)檢測引擎基于本地、全網(wǎng)、安全云腦構(gòu)建文件信譽(yù)庫基因特征檢測引擎基于”小紅傘“引擎構(gòu)建基因特征識別庫速度快，準(zhǔn)確率高，誤殺操作少行為分析檢測引擎虛擬沙盒、引擎和操作系統(tǒng)環(huán)境仿真解析惡意代碼本質(zhì)人工智能檢測引擎利用深度學(xué)習(xí)訓(xùn)練數(shù)千維度的算法模型持續(xù)學(xué)習(xí)，自我成長無特征檢測技術(shù)安全云腦檢測引擎使用大數(shù)據(jù)分析平臺，基于多維威脅情報秒級響應(yīng)檢測結(jié)果基于AI多維度智能檢測引擎功能介紹文件信譽(yù)檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級信譽(yù)檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機(jī)制：本地緩存信譽(yù)檢測：對終端主機(jī)本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測未知文件。全網(wǎng)信譽(yù)檢測：在管理平臺上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫，對單臺終端上的文件檢測結(jié)果匯總到平臺，做到一臺發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測重點落到對未知文件的分析上，減少對已知文件重復(fù)檢測的資源開消。功能介紹基因特征檢測引擎

深信服EDR的安全運(yùn)營團(tuán)隊，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運(yùn)營，對熱點事件的病毒家族進(jìn)行基因特征的提取，洞見威脅本質(zhì)，使之能應(yīng)對檢測出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識別更精準(zhǔn)。功能介紹人工智能檢測引擎SAVE勒索病毒PE文件結(jié)構(gòu)原始特征(字節(jié)級特征)IP、端口、注冊表鍵值、匯編指令等基于語義的特征構(gòu)建高層次特征（提取本質(zhì)行為）網(wǎng)絡(luò)連接測試、文件加密、寫入注冊表、自啟動特征篩選（降維）高質(zhì)量特征（提取對判斷是否是病毒最有效的特征）分類模型（訓(xùn)練/預(yù)測）黑/白………文件加密、自啟動SAVE引擎能夠分析高層次特征的影響，從而調(diào)整和優(yōu)化分類模型泛化檢測能力通過對某一類病毒高維特征提取泛化檢測具有相同高維特征的數(shù)百類病毒功能介紹人工智能檢測引擎SAVE相比基于病毒特征庫的傳統(tǒng)檢測引擎，SAVE的主要優(yōu)勢有：強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識別新出現(xiàn)的未知病毒；對勒索病毒檢測達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測能力，從而形成本地傳統(tǒng)引擎、人工智能檢測引擎和云端查殺引擎的完美結(jié)合。功能介紹行為分析檢測引擎

傳統(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測方式，對于加密和混淆等代碼級惡意對抗，輕易就被繞過。而基于行為的檢測技術(shù)，實際上是讓可執(zhí)行程序運(yùn)行起來，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過對行為鏈的分析而檢測出威脅。因此，不管使用哪種加密或混淆方法，都無法繞過檢測。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測完畢即被無痕清除，不會真正影響到系統(tǒng)環(huán)境。功能介紹安全云腦檢測引擎

針對最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進(jìn)行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺，基于多維威脅情報、云端沙箱技術(shù)、多引擎擴(kuò)展的檢測技術(shù)等，秒級響應(yīng)未知文件的檢測結(jié)果。配置步驟配置病毒查殺策略下發(fā)病毒查殺掃描對病毒查殺結(jié)果進(jìn)行處置配置思路病毒查殺策略打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。配置介紹配置介紹病毒查殺策略配置介紹病毒查殺策略病毒查殺發(fā)現(xiàn)威脅文件后的三種處理動作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對威脅文件進(jìn)行處置（確認(rèn)是病毒的自動隔離，可疑病毒的僅上報不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場景，可能會存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報不處置：適用于有人值守且用戶了解如何處置病毒的場景，需要人工分析上報的威脅日志進(jìn)行處理。EDR檢測的所有威脅文件僅上報安全日志，不隔離。掃描引擎默認(rèn)沒有啟用行為引擎，如果電腦配置在CPU4核、內(nèi)存4G以上可以啟用所有引擎，低于此配置，建議保留默認(rèn)配置。“開啟高啟發(fā)式掃描”后會提高病毒檢出率，但也會增加誤判，此配置項在多家廠商PK測試病毒檢測率時使用，非此場景慎用。配置介紹病毒檢測通過管理端下發(fā)查殺任務(wù)，選中需要查殺的終端，可以下發(fā)快速查殺或全盤查殺，如下圖。配置介紹病毒檢測通過EDR客戶端也可以對這臺終端進(jìn)行查殺毒掃描，如下圖。配置介紹病毒處置如果病毒查殺策略設(shè)置發(fā)現(xiàn)惡意文件的處置動作為“標(biāo)準(zhǔn)處置”或“僅上報，不處置”，則病毒查殺發(fā)現(xiàn)的威脅文件（未自動隔離的）可以由人工進(jìn)行“處置”、“信任”和“忽略”處理，如下圖。處置：對感染性病毒、宏病毒文件先進(jìn)行修復(fù)，無法修復(fù)再進(jìn)行隔離處理；其它類型病毒直接隔離。信任：如果檢測出的威脅為正常文件，則可以添加為可信任。忽略：如果威脅在終端已自行處理，管理端不需要顯示威脅日志，則可以設(shè)置為忽略。威脅分析：接入深信服安全中心，對威脅事件詳細(xì)分析，進(jìn)一步判斷威脅文件影響。案例背景某項目同時有安全廠商A、安全廠商B、深信服EDR三家廠商參與，客戶關(guān)注安全軟件對病毒的檢出能力，這種場景下，我們?nèi)绾螠y試才能體現(xiàn)我們產(chǎn)品的檢測能力。使用案例準(zhǔn)備工作版本確認(rèn)確認(rèn)當(dāng)前EDR的版本為3.2.16及以后版本樣本提供

測試前需要確認(rèn)測試樣本如何提供，需提前準(zhǔn)備好測試樣本，一般有以下幾種方式：我司提供樣本友商提供樣本客戶提供樣本我司、友商、客戶各提供1/3樣本使用案例測試方法1、設(shè)置病毒查殺策略打開EDR【終端管理】->【策略管理】，按如下圖設(shè)置病毒查殺策略使用案例測試方法2、確認(rèn)配置生效完成上述配置后，右鍵點擊終端Agent托盤圖標(biāo)，如下圖，說明當(dāng)前查殺處于高啟發(fā)式掃描”模式。3、對比查殺使用EDR客戶端自定義查殺對病毒樣本查行掃描查殺，對比不同廠商的檢出率。使用案例注意事項通過管理端下發(fā)快速查殺任務(wù)，只對以下目錄生效，所以在測試快速查殺時，樣本需要放在以下目錄：Linux快速查殺目錄：Linux快掃目錄/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查殺目錄：/windows和/windows/system32本級目錄，/windows/system32/drivers目錄和其子目錄殺毒掃描模式有“極速”、“均衡”和“低耗”三種模式，區(qū)別如下，建議使用“均衡”模式，不會因為資源占用影響客戶業(yè)務(wù)。極速：全速掃描、不限制掃描軟件自身的CPU占用率；均衡：掃描速度和CPU占用率達(dá)到一定平衡，限制CPU占用率不超過30%；低耗：掃描時盡量少占用CPU資源，限制CPU占用率不超過10%。病毒查殺文件實時監(jiān)控目錄需求背景為了保護(hù)業(yè)務(wù)安全，不僅要做到威脅發(fā)生后對威脅事件的及時檢測與響應(yīng)，更需要在威脅發(fā)生前進(jìn)行相應(yīng)預(yù)防和威脅發(fā)生的過程中做好相應(yīng)的防護(hù)策略。這樣才能在保護(hù)業(yè)務(wù)安全方面提供事前預(yù)防、事中防護(hù)、事后檢測和響應(yīng)的閉環(huán)解決方案。此次培訓(xùn)主要介紹在事中防護(hù)階段文件實時監(jiān)控如何保護(hù)業(yè)務(wù)安全。功能介紹文件實時監(jiān)控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實時監(jiān)控電腦上文件寫入、讀取和執(zhí)行操作，當(dāng)檢測到威脅文件寫入、讀取、執(zhí)行時，立即阻斷相關(guān)操作，并進(jìn)行告警。防止威脅文件落地、并進(jìn)一步執(zhí)行，從而保護(hù)業(yè)務(wù)安全。原理介紹文件實時監(jiān)控通過SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實時檢測文件并判定為黑白，流程圖如右圖。對WindowsServer和WindowsPC所在組啟用文件實時監(jiān)控策略。配置介紹配置介紹打開【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組實時防護(hù)設(shè)置。配置介紹防護(hù)級別高：監(jiān)控文件打開、執(zhí)行、落地動作中：監(jiān)控文件執(zhí)行、落地動作低：監(jiān)控文件執(zhí)行動作掃描引擎電腦性能足夠，掃描引擎可以全開；性能不足，建議關(guān)閉基因特征引擎配置介紹發(fā)現(xiàn)惡意文件后的處置動作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對威脅文件進(jìn)行處置（確認(rèn)是病毒的自動隔離，可疑病毒的僅上報不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場景，可能會