EDR架构及部署:
硬件:终端大数据分析平台
软件:天擎客户端、天擎控制台
授权:威胁情报
EDR数据采集及处理流程:
行为影响:终端进程、文件操作、注册表修改、进程注入、账户变更、文件解压
边界传输:IM传输、浏览器传输、邮件附件、下载工具、U盘传输
网络请求:IP访问、DNS访问
EDR终端处置能力:
进程处置:进程隔离、进程终止
文件处置:文件隔离、文件恢复
终端处置:消息通知、终端隔离
EDR日常分析、重保时期终端异常场景全覆盖:
日常威胁分析:
重点保障时期:
EDR查询语法高级模式-基本搜索语法:
搜索语句一般由“字段名称”,“项”以及“运算符”三大元素组成。
字段: 项 运算符 字段: 项
sip:"10.16.16.13" AND dip:"10.16.17.52"
EDR查询语法高级模式-布尔运算符支持:
EDR日常运行检查项-数据上报:
查看最近24小时是否有数据,通过和临近工作日的数据总量做对比,波动一般不会超过30%。