终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应,形成新一代的安全防护体系。
终端资产的全面清点:
全网终端资产的全面清点,包含业务服务器和用户PC的终端资产清点。清点每台终端硬件信息、软件信息和资产管理信息等。帮助IT管理员实现对主机资产的“两清一减”:即看清全网主机资产全貌,理清全网主机风险暴露面,从而削减全网主机攻击面。
终端安全的合规审查:
每一个组织都有自己的终端安全合规要求,特别是等级保护的合规要求,对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。
勒索病毒的实时防御:
勒索病毒通过加密文件的方式,要求中招者支持一定数额的赎金。这种攻击方式越来越流行,每天都有客户反馈中招。深信服EDR能够非常精准的识别不同的勒索软件家族,并通过专业分析识别出种种勒索病毒感染行为和加密特征,对最新的勒索软件进行有效的查杀,防止用户感染最新的勒索软件。
系统漏洞检测与修复:
系统存在不同风险等级的漏洞,如果没有及时识别和修复,攻击者很可能利用系统漏洞进入客户内网,对业务造成的影响和损失经常无法估计。EDR能够帮助管理员识别内网终端系统漏洞风险,并进行修复,加强系统安全性。
入侵攻击的主动检测:
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中10大部分攻击是通过暴力破解的弱口令攻击产生的。深信服的EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。
热点事件快速响应:
深信服安全云脑通过全球的大数据安全分析,提供热点事件的IOC情报,推送情报数据给EDR产品。EDR产品能根据IOC情报数据快速的全网威胁定位分析,及时发现和响应最新的热点事件,并且根据历史行为数据进行溯源分析,避免组织受到安全事件的通报。