產品介紹

終端安全響應系統（EDR）是傳統終端安全產品在高級威脅檢測和響應方面的擴展和補充，通過威脅情報、攻防對抗、機器學習等方式，從主機、網絡、用戶、文件等維度來評估企業網絡中存在的未知風險，以行為引擎為核心，利用威脅情報，縮短威脅從發現到處置的時間，有效降低業務損失，增加可見性，提升整體安全能力。

核心功能

1.提供對端點行為的監控與數據采集，包括終端進程、IP訪問、DNS訪問、IM傳輸、郵件傳輸、U盤傳輸、瀏覽器下載、文件操作、注冊表變更、賬戶變更等。

2.針對不同階段的攻擊路徑，提供深度自動化異常檢測能力，包括對powershell、wmic等常被利用的系統的進程檢測以及常用的滲透工具檢測。

3.提供高可視化溯源分析展示，對可疑進程行為的攻擊鏈路進行溯源，包括其危害動作及影響面。

4.支持威脅情報IOC導入，提供IOC檢測告警能力，對利用漏洞攻擊行為提供關聯CVE信息，并關聯受影響終端情況。

5.支持根據自身業務場景需求自行創建自定義異常行為檢測條件來觸發告警。

6.支持威脅追蹤，跡象數據搜索，例如對IM文件傳輸、郵件日志、DNS訪問審計、證書、操作系統信息、終端進程信息、IP訪問審計、U盤記錄、驅動信息、安裝的軟件列表等跡象數據的搜索。

7.管理平臺界面可對十萬級以上客戶端進行統一集中管理，包括但不限于對終端配置策略、威脅事件管理、執行處置操作等。

產品特點

1.終端行為數據采集

采集終端安全行為數據的類別豐富，覆蓋高級威脅在終端上的蛛絲馬跡。

2.強大的數據分析能力

高性能的大數據分析平臺，可對海量終端數據集進行實時檢索與分析，幫助客戶進行終端數據的集中化管理。

3.異常行為的智能檢測

威脅檢測告警引擎能夠智能檢測終端異常行為，并根據威脅行為模型對檢測到的感知行為產生告警，為進一步分析提供決策依據。

4.威脅情報的實時融合

實時接收云端的大數據威脅情報，并對企業內部的日志數據進行準確的檢索，從而快速定位威脅風險，進行安全排查。

5.多維度的調查分析平臺

分析平臺提供多維度的調查能力，可以基于安全數據內容與背景進行快速解析，幫助客戶識別、調查隱藏的殺傷鏈，還原事件真相，并進行可視化的溯源分析展示。對可疑進程行為攻擊鏈路進行溯源，包括其危害動作及影響面。

6.豐富的響應和遏制手段

針對于高級威脅事件提供快速的響應手段，并可整合終端安全管理系統，針對不同類型的風險進行對應的威脅遏制和安全修復。

適用場景

1.通報內容排查

基于通報的內容和線索，使用威脅追蹤能力快速定位問題終端和使用人，通過終端安全大數據進行問題的回溯排查，梳理威脅鏈條，定位全網終端風險點，進行快速處理，提供相關報告。

2.威脅情報告警分析

控制中心接收到新的云端威脅情報，基于情報中某IOC和終端存儲安全數據進行匹配命中，產生告警，基于告警信息進行進程鏈回溯，明確威脅樣本并進行快速處置。同時對于全網終端進行惡意樣本追蹤，定位感染源，進行風險分析和處理。

3.自定義規則告警

基于內網終端使用特殊性，自定義終端行為規則，設置異常行為檢測條件。當某終端匹配異常行為后觸發告警，可以快速定位到具體終端，對異常行為進行溯源分析，并快速響應處置。

部署方式

支持單級和多級部署模式。

控制中心部署在服務器端，提供系統管理和數據應用核心能力，而且采用B/S架構，讓管理員可以隨時隨地通過瀏覽器進行訪問；客戶端部署在需要保護的終端或服務器上，實現數據采集模塊、數據上報模塊、響應處置引擎等功能。