EDR架構及部署:
硬件:終端大數據分析平台
軟件:天擎客戶端、天擎控制台
授權:威脅情報
EDR數據采集及處理流程:
行為影響:終端進程、文件操作、注冊表修改、進程注入、賬戶變更、文件解壓
邊界傳輸:IM傳輸、瀏覽器傳輸、郵件附件、下載工具、U盤傳輸
網絡請求:IP訪問、DNS訪問
EDR終端處置能力:
進程處置:進程隔離、進程終止
文件處置:文件隔離、文件恢復
終端處置:消息通知、終端隔離
EDR日常分析、重保時期終端異常場景全覆蓋:
日常威脅分析:
重點保障時期:
EDR查詢語法高級模式-基本搜索語法:
搜索語句一般由“字段名稱”,“項”以及“運算符”三大元素組成。
字段: 項 運算符 字段: 項
sip:"10.16.16.13" AND dip:"10.16.17.52"
EDR查詢語法高級模式-布爾運算符支持:
EDR日常運行檢查項-數據上報:
查看最近24小時是否有數據,通過和臨近工作日的數據總量做對比,波動一般不會超過30%。