EDR終端檢測響應平臺
EDR終端檢測響應平臺產品概述
終端檢測響應平臺EDR,圍繞終端資產安全生命周期,通過預防、防御、檢測、響應賦予終端更為細致的隔離策略、更為精準的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力。在應對高級威脅的同時,通過云網端聯(lián)動協(xié)同、威脅情報共享、多層級響應機制,幫助用戶快速處置終端安全問題,構建輕量級、智能化、響應快的下一代終端安全系統(tǒng)。
EDR終端檢測響應平臺需求分析
- 威脅形勢嚴峻 勒索病毒頻發(fā)
- 傳統(tǒng)終端防護能力缺失
EDR終端檢測響應平臺產品優(yōu)勢
智能檢測,洞察威脅本質
EDR通過人工智能持續(xù)學習、自我進化能力實現(xiàn)無特征檢測,真正洞察威脅本質,能夠更有效的鑒定未知病毒。利用深度學習訓練數(shù)千維度的算法模型,多維度的檢測技術,應用高檢出率和低誤報率的算法模型,并使用線上海量大數(shù)據(jù)的運營分析,用特征訓練不斷完善算法。與此同時,輔以信譽庫加上行為分析、基因特征等技術,構建完善的防御體系,全面預防、有效檢測。
迅捷靈動處置,及時響應威脅
應用網絡安全產品,是為了能夠有效應對安全事件,及時止損。EDR能夠幫助用戶及時、高效地響應處置安全威脅。一方面,EDR可根據(jù)檢測命中的威脅內容,進行迅捷處置。區(qū)別于傳統(tǒng)終端安全的文件隔離方式,深信服EDR提供基于文件、機器、群組等全面處置手段。隔離響應手段包括:終端主機隔離、業(yè)務組隔離、文件信任、文件隔離、文件刪除、文件恢復等。另一方面,安全建設不是孤立的,終端安全作為安全建設的關鍵一環(huán),應能夠與其他安全設備聯(lián)動進行協(xié)同響應。EDR通過智慧協(xié)同、自動處置,形成立體防護能力,幫助用戶快速封堵威脅,縮短威脅在用戶環(huán)境的發(fā)現(xiàn)和處置時間。
一體化管理,終端資產全面識別
組織單位只有掌握了自身資產狀況,以及自身業(yè)務的安全狀況,才能從容不迫的應對風險。深信服EDR采用一體化統(tǒng)一管理方式應用,全面兼容不同終端/服務器形態(tài)、操作系統(tǒng)類型,全類型資產策略一體化,并輔以多層次威脅檢測、Web后門檢測、僵尸網絡檢測、入侵攻擊檢測、基線合規(guī)檢測、熱點事件IOC檢測等手段,確保終端具備更為全面的防護能力,也使得每一臺終端上的資產信息更加清晰,便于管理。
EDR終端檢測響應平臺應用場景
終端威脅防御、響應場景
通過在內部業(yè)務系統(tǒng)終端部署EDR客戶端,可及時定位已經失陷的終端,響應已知、未知終端威脅,避免組織內部大面積終端安全事件的爆發(fā),如勒索病毒全網蔓延。
等級保護建設合規(guī)場景
通過在需要進行等級保護測評的業(yè)務系統(tǒng)服務器上,部署終端安全EDR客戶端,開啟終端安全防護策略,全面滿足在等保2.0標準中針對主機防病毒\補丁、漏洞管理\集中管控等安全控制點的合規(guī)要求,幫助用戶實現(xiàn)等級保護二、三級建設。
終端一體化管控場景
通過在不同終端操作系統(tǒng)上部署EDR客戶端,全網通過統(tǒng)一的EDR控制端下發(fā)針對不同終端的安全策略,從而達到組織通過統(tǒng)一終端管控平臺,對Windows PC、Windows Server、Linux server 統(tǒng)一資產管理、終端安全基線管理、終端安全風險管理的要求。
終端防護響應(EDR)工具
運用大數(shù)據(jù),為終端抵御未知和零日攻擊
應用機器學習和行為分析進EDR防護
以大數(shù)據(jù)分析切入EDR(終端防護與響應),應用機器學習算法與行為分析提供精確、全面、實時的防護與響應,能夠有效發(fā)現(xiàn)未知威脅并減少誤報。
不間斷檢測:通過在終端部署代理和安裝大數(shù)據(jù)服務器,可以對組織網絡中的所有入口和行為進行實時、不間斷的檢測,檢測的范圍包括:內存、文件系統(tǒng)、注冊表、進程和網絡等。檢測同時在終端和大數(shù)據(jù)服務器上進行,既加快檢測速度,又保障服務質量。
混合檢測引擎:這是應對范圍廣泛的各種攻擊,同時又能減少誤報發(fā)生的關鍵。這一引擎獨到的使用了2種分析模式:機器學習算法和行為分析。
主動獵捕:該產品同時支持基于IOC的攻擊檢測和主動獵捕,通過實時的、用戶友好界面提供網絡攻擊檢測狀態(tài)的全面可視化顯示。