17-EDR安裝部署電子課件

EDR安裝部署了解EDR產(chǎn)品的架構(gòu)熟悉EDR管理平臺(tái)的部署方法熟悉EDR客戶端的安裝與卸載方法教學(xué)目標(biāo)產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄總體架構(gòu)EDR從系統(tǒng)架構(gòu)上分為三層，基礎(chǔ)平臺(tái)層、核心引擎層以及功能展現(xiàn)層。基礎(chǔ)平臺(tái)層：負(fù)責(zé)提供集中管控，云查以及主機(jī)代理功能的基礎(chǔ)能力。核心引擎層：負(fù)責(zé)提供病毒檢測(cè)，威脅分析以及行為檢測(cè)等能力。功能展現(xiàn)層：從預(yù)防、防御、檢測(cè)、響應(yīng)等四個(gè)方面，提供全面的安全防護(hù)體系。EDR從部署結(jié)構(gòu)上分為云端、管理端（MGR）和客戶端（Agent）三部分。云端：包括病毒庫(kù)升級(jí)、云端查殺服務(wù)中心、安全情報(bào)中心。管理端：負(fù)責(zé)維護(hù)管理所有的Agent客戶端。客戶端：安裝在終端的軟件，對(duì)終端進(jìn)行安全防護(hù)。部署結(jié)構(gòu)云查服務(wù)中心病毒庫(kù)升級(jí)中心安全情報(bào)中心EDR管理平臺(tái)WindowsLinux云端管理端客戶端產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄場(chǎng)景：公司領(lǐng)導(dǎo)給了你一個(gè)軟件，告訴你這個(gè)軟件可以實(shí)現(xiàn)某些功能，需要你盡快安裝上，投入使用思考：想要安裝，你都需要了解什么？思考在安裝部署EDR之前，需要進(jìn)行系統(tǒng)兼容性確認(rèn)硬件資源環(huán)境確認(rèn)網(wǎng)絡(luò)連通性確認(rèn)部署準(zhǔn)備EDR管理平臺(tái)Agent客戶端系統(tǒng)兼容性確認(rèn)瀏覽器Mgr控制臺(tái)IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系統(tǒng)（64位）Mgr控制臺(tái)Centos7+YUbntul16+Y操作系統(tǒng)類型操作系統(tǒng)用戶PC終端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服務(wù)器終端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系統(tǒng)類型操作系統(tǒng)國(guó)產(chǎn)Neokylin5.0x86（客戶端版）Neokylin6.0x86（客戶端版）Neokylin7.0x86（客戶端版）銀河麒麟4.0x64（客戶端版）優(yōu)麒麟18.0Agent客戶端操作系統(tǒng)類型操作系統(tǒng)linux服務(wù)器終端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系統(tǒng)兼容性確認(rèn)物理環(huán)境和虛擬化環(huán)境都需要符合以下硬件資源要求硬件資源環(huán)境確認(rèn)終端數(shù)CPU（奔騰雙核）內(nèi)存磁盤1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意：如果MGR服務(wù)器作為漏洞補(bǔ)丁服務(wù)器，磁盤大小推薦配置為1T客戶端（Agent）與管理平臺(tái)（MGR）通信使用到TCP：4430、TCP：8083、TCP：54120端口、ICMP。確保端口連通性。4430端口：Agent組件更新和病毒庫(kù)更新。8083端口：Agent和管理端業(yè)務(wù)通信端口。54120端口：逃生端口，應(yīng)急情況與Agent通信端口。完成Agent重啟、卸載和腳本執(zhí)行命令下發(fā)。ICMP：連通性探測(cè)客戶端與管理平臺(tái)網(wǎng)絡(luò)連通性網(wǎng)絡(luò)連通性確認(rèn)管理平臺(tái)與云端網(wǎng)絡(luò)連通性（云腦）漏洞補(bǔ)丁相關(guān)：https://（云腦）接入云腦授權(quán)：https://（云腦）云查服務(wù)器：（云腦）云安全計(jì)劃：（CDN）漏洞補(bǔ)丁、規(guī)則、病毒庫(kù)地址：http://網(wǎng)絡(luò)連通性確認(rèn)MGR管理平臺(tái)部署軟件部署ISO鏡像部署OVA模板部署硬件一體機(jī)部署管理平臺(tái)部署ISO鏡像部署基于CentOS系統(tǒng)鏡像，其內(nèi)嵌MGR安裝包，即安裝該ISO后，便自動(dòng)部署MGR。優(yōu)勢(shì)：安裝步驟簡(jiǎn)化。該ISO基于CentOS最新包定制，內(nèi)嵌mgr安裝包，只需一次安裝即可，不再需要原有的mgr單獨(dú)部署流程。安全性更高。該ISO在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。物理環(huán)境和虛擬化環(huán)境都支持安裝。ISO鏡像部署OVA模板部署是基于CentOS安裝鏡像，其內(nèi)嵌MGR安裝包，在虛擬化環(huán)境中，導(dǎo)入OVA模板，便自動(dòng)部署MGR。優(yōu)勢(shì)：安裝步驟簡(jiǎn)化。該OVA模板基于CentOS最新包定制，內(nèi)嵌MGR安裝包，只需一次安裝即可，不再需要原有的MGR單獨(dú)部署流程。安全性更高。該模板中的系統(tǒng)在發(fā)布前已經(jīng)過多種滲透掃描，安裝了最新系統(tǒng)補(bǔ)丁，可以消除客戶因使用存在漏洞的第三方系統(tǒng)（較為老舊，沒有維護(hù)的Linux系統(tǒng)）引入的安全問題。OVA模板部署目前硬件EDR有兩個(gè)型號(hào)EDR-1000-B600（最大支持管控1000點(diǎn)EDR客戶端）和EDR-1000-C600（最大支持管控2500點(diǎn)EDR客戶端）硬件一體機(jī)部署硬件一體機(jī)部署如圖，EDR硬件設(shè)備eth0口旁路接到客戶網(wǎng)絡(luò)，確保EDR設(shè)備可以和內(nèi)網(wǎng)終端連通即可。EDR硬件設(shè)備eth0口默認(rèn)地址為51，默認(rèn)登錄控制臺(tái)方式為51admin/admin產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄部署方式（5種）：安裝包部署、網(wǎng)頁(yè)推廣部署、AC聯(lián)動(dòng)部署、虛擬機(jī)模板部署、域控場(chǎng)景部署客戶端Agent部署特別注意：EDR客戶端與以下安全軟件完全兼容使用。安裝有非以下安全軟件的電腦同時(shí)安裝EDR客戶端，支持在兼容模式下安裝，但文件實(shí)時(shí)監(jiān)控功能無法正常使用。EDR客戶端Agent支持與金山毒霸、火絨（個(gè)人版）、QQ管家、瑞星個(gè)人版、奇安信天擎、360殺毒、360安全衛(wèi)士、趨勢(shì)深度安全、趨勢(shì)officescan、賽門鐵克等數(shù)10款安全軟件兼容安裝和使用適用場(chǎng)景管理員下載agent安裝包，通過U盤等移動(dòng)介質(zhì)將其導(dǎo)入終端進(jìn)行安裝部署，最直接的部署方法安裝包部署適用場(chǎng)景管理員發(fā)布部署通知的web頁(yè)面，將發(fā)布頁(yè)鏈接通過郵件、OA等方式發(fā)送至終端，終端用戶自行下載agent安裝包進(jìn)行安裝部署網(wǎng)頁(yè)推廣部署適用場(chǎng)景適用于同時(shí)購(gòu)買了AC的客戶，EDR和AC聯(lián)動(dòng)，當(dāng)用戶打開網(wǎng)頁(yè)時(shí)，被AC重定向至下圖安裝Agent頁(yè)面，直至終端成功安裝AgentAC聯(lián)動(dòng)部署虛擬機(jī)模板部署適用場(chǎng)景適用于桌面辦公環(huán)境或虛擬化環(huán)境，管理員在虛擬化平臺(tái)提前做好含EDR客戶端的虛擬機(jī)模板，根據(jù)需要進(jìn)行派生成其它虛擬機(jī)域控部署適用場(chǎng)景終端受WindowsAD域控統(tǒng)一管理，可以通過域控組策略批量部署軟件安裝包進(jìn)行靜默安裝。虛擬機(jī)模板部署與域控場(chǎng)景部署產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄Agent卸載包括Windows客戶端卸載和Linux客戶端卸載客戶端Agent卸載Windows客戶端卸載有兩種方式：終端卸載、MGR管理平臺(tái)卸載Windows客戶端卸載為了防止客戶端被惡意卸載導(dǎo)致終端