一、什么是EDR

EDR即集检测、防御、运维功能于一体的主机安全及管理系统。EDR是一款集成了丰富的系统加固与防护、网络加固与防护等功能的主机安全产品。

二、EDR的部署模式

EDR（Endpoint Detection and Response，端点检测和响应）的部署方式通常涉及服务端和客户端的安装与配置，并确保二者之间能够进行有效通信，以实现全面的终端保护和安全监控功能。

1. 服务端部署
   • 下载镜像：根据需求选择合适的镜像文件进行下载安装，例如ISO镜像。
   • 修改网络配置：确保服务端的IP地址、路由和DNS设置正确，使得客户端能够连接到平台，并且平台能够连接到互联网进行云查和升级。
   • 检查端口：常见的通信端口包括443（用于下载Agent）、8083（业务端口）和54120（管理端口）。需要确保这些端口在防火墙中是开放的。
   • 设备授权：从客户端电脑访问MGR控制台进行授权更新，确保系统能够正常使用授权文件进行激活。
2. 客户端部署
   • 支持操作系统：EDR客户端通常支持多种操作系统，如Windows和Linux，具体包括32位和64位版本。
   • Windows系统安装：可以通过MGR控制台下载并运行安装程序。不要修改下载下来的安装文件名，按照提示进行安装即可。
   • Linux系统安装：可以下载提供的安装脚本，通过执行脚本来完成安装。具体命令如下：
   • 下载安装脚本：wget --no-check-certificate https://管理平台ip地址/linux_edr_installer.tar.gz
   • 解压安装包：tar -xzvf linux_edr_installer.tar.gz
   • 执行安装脚本：./agent_installer.sh 管理平台ip /home/EDR/
3. 通信问题
   • 物理隔离环境：如果服务端没有访问公网的权限，只是不能及时与深信服的安全云联动获取准确的安全情报和解决方案。
   • 网络隔离环境：需要在防火墙上放通特定的IP地址和端口，以确保服务端和客户端之间的通信畅通。
4. 云端部署
   • 本地环境部署：可以在用户的本地服务器或虚拟化平台上安装Agent。
   • 云端环境部署：也可以选择使用如华为乾坤终端防护与响应服务提供的云上EDR解决方案，通过云端一体架构提供跨平台的安全防护。

三、功能描述

EDR（Endpoint Detection and Response，端点检测和响应）功能包括实时监控、威胁检测、自动响应、溯源分析、集成其他安全产品等。

1. 实时监控：EDR系统通过安装在终端设备的代理持续收集关键数据，包括文件访问、进程执行、网络连接等，确保安全团队能够实时了解终端设备的活动状态。
2. 威胁检测：利用行为分析、机器学习等先进技术，EDR系统能够检测已知和未知的威胁。通过实时分析收集到的数据，识别潜在的恶意活动和攻击模式。
3. 自动响应：一旦检测到威胁，EDR系统可自动执行预定义的响应措施，如隔离感染设备、阻断恶意网络连接、终止恶意进程等，有效控制和缓解安全事件的影响。
4. 溯源分析：EDR系统提供详细的事件日志和威胁情报，帮助安全团队进行深入调查和分析，追溯攻击源头，揭示攻击链的完整路径，为后续的安全加固提供依据。
5. 集成其他安全产品：现代EDR系统通常具备良好的集成性，可以与SIEM系统、防火墙、反病毒软件等其他安全工具和平台无缝集成，构建更加全面和协同的安全防护体系。
6. 威胁狩猎：部分EDR解决方案支持主动威胁狩猎，允许安全团队利用丰富的行为分析和可编程查询工具，积极搜寻网络中的潜在未知威胁，进一步降低安全风险。