终端检测响应EDR

终端检测响应平台（EDR）

EDR是深信服公司提供的一套终端安全解决方案，方案有云端、轻量级的端点安全软件（Agent）和管理平台软件（MGR）共同组成。
云端主要负责平台的升级、病毒库的升级、云查杀。
MGR负责管理维护所有Agent终端。支持统一的终端资产管理、终端病毒查杀、终端合规检查、支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位。
Agent端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。

EDR部署

EDR部署准备
在安装部署EDR之前，需要进行部署系统兼容性确认、网络连通性确认和安装服务器环境确认。
MGR管理平台:支持Ubuntu16+ Centos7+
网络连通性确认：443、8083、54120端口，确保端口连通性
安装环境：物理环境、VMware/aCloud虚拟化环境

EDR管理平台部署

EDR管理平台部署包括软件部署和一体机部署。
1、OVA模板部署MGR（适用于客户有虚拟化环境中，MGR软件部署在虚拟化环境中）
2、离线包安装MGR（适用于客户没有虚拟化环境，MGR软件安装在真实物理服务中）
3、MGR硬件部署（MGR一体机硬件）

1、导入OVA模板部署MGR
1）和客户确认虚拟化部署MGR环境。（cpu、内存、磁盘需满足EDR部署）
2）下载OVA镜像，可以从官网下载（http://bbs.sangfor.com.cn）
3)导入OVA镜像，初始控制台地址：https://10.251.251.251
初始控制台账号、密码为：admin/admin
部署完成后，请修改root密码，以保证账号的安全性。

4）修改网络配置
配置网口地址、掩码、网关

vi /etc/svsconfig/network-scripts/ifcfg-eth0

配置完成后，按ESC，并执行：wq！回车退出编辑。
重启网络服务 systemctl restart network
2、离线包安装MGR

1. 和客户确认安装MGR需要的物理服务器资源
2. 从社区（http://bbs.sangfor.com.cn）下载离线安装包和安装脚本
3. 解压安装脚本，安装包和安装脚本上传至Linux服务器统一目录。
4. 执行chmod u+x manager_deploy.sh,给脚本添加可执行权限
5. 执行./manager_deploy.sh <安装包路径> <云端升级服务器IP> 进行安装。
   注：云端升级服务器IP为121.46.26.113，填写这个即可。
   3、MGR硬件部署
   
   EDR硬件设备eth0口旁路街道客户网络，确保EDR设备可以和内网终端联通即可
   EDR硬件设备eth0口默认地址为10.251.251.251，默认登陆控制台方式为https://10.251.251.251 admin/admin

DER客户端部署

Agent客户端共有五中部署方式：

1. 下载安装包部署
2. 网页推广部署
3. 与AC联动部署
4. 虚拟机模板部署
5. 预控场景部署

下载安装包部署
管理员下载agent安装包，通过U盘等移动介质将其导入终端进行安装部署
Windows安装：直接双击exe文件进行安装
Linux安装：
通过执行命令下载

wget --no-check-certificate https://Manager_IP/html/linux_edr_installer.tar.gz

其中Manager_IP为管理平台的实际IP地址。

执行命令tar -xzvf linux_der_installer.tar.gz解压文件
解压目录下执行./agent_installer.sh命令安装Agent
注：安装过程会建议安装ipset，选择y，忽略即可
Linux系统安装Agent后，是没有UI的，程序在后台运行

Agent客户端_网页推广部署
管理员发布部署通知的web页面，将发布页连接通过邮件、OA等方式发送至终端，终端用户自行下载agent安装包进行安装部署。

与AC联动部署



虚拟机模板部署
适用于客户桌面办公环境是虚拟化环境，管理员在虚拟化平台上通过虚拟机模板实现对虚拟机的镜像部署。

域控场景部署
终端加入了Windows AD域控统一管理，可以通过域控统一下发策略和推送终端软件安装
部署步骤：
联系4006306430获取通过域控推送的Agent安装包。将文件拷贝到AD域控机器上，并将文件所在目录设置为共享，共享中添加EVERYONE用户的读取。