终端安全管理系统EDR
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。EDR 的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的 EDR产品也支持与 NGAF、AC、SIP 产品的联动协同响应,形成新一代的安全防护体系。
核心优势
勒索挖矿全面防护
勒索挖矿全面防护:区别于传统病毒检测,深信服EDR可基于攻击全链条进行防护,从漏洞免疫到微隔离提前防护——漏洞利用拦截、暴力破解封堵阻止恶化——无文件防护等持续定位检测,提供勒索挖矿全面专项防护策略。 AI智能精准检测:集成AI人工智能检测引擎,升级“双模型”架构,与定向训练集结合,进一步增强AI泛化检测能力,整体检测能力提升30%+。即使在离线场景下,用户数月不更新病毒库,也可检出未知威胁和各类威胁变种。云端查杀快速清除:针对顽固类病毒深度分析,提供独创云端-专家分析-处置下发-定位查杀的专杀通道, 对顽固病毒检测查杀更快速更彻底。
APT精准检测
终端行为全面采集:可对进程、文件、注册表等13个类别终端系统、应用层的行为数据进行全面采集,为实现全面分析提供强力基础。场景重现精准定位:深信服EDR自研的”IOA+IOC”融合检测技术,实现场景重现。支持挖矿、勒索、WebShell攻击、无文件攻击等十大场景,将端侧采集的行为数据结合业务环境聚合关联分析,并将入侵攻击链以可视化形式呈现,帮助运维人员快速进行威胁定位。 XDR联动高效分析:与XDR平台深度联动,云端算力对采集上报的数据聚合分析并告警,精准定位到真实威胁,快速响应。
联动响应快速闭环
网端深度联动:能与深信服网络侧全系列安全产品深度联动,打通网端两侧数据,形成涵盖云、边界、端点上中下立体防御架构。为管理员快速响应、举证溯源提供全方位的便捷能力,提升网端总体运维效率。进程级精准响应:通过联动网络侧产品有效定位主机发起恶意行为的进程,一键隔离进程,快速阻断威胁。响应机制全面快速:具有全面的响应机制,包括剧本化自动处置、隔离终端、封堵网络端口、隔离文件、远程脚本批量处置、远程专家处置闭环等,可快速对威胁进行响应处置。
轻量易用
足够轻量:具备资源自适应抑制技术,动态调控资源占用率,日常占用内存100M以内、CPU5%以内。部署简便快捷:支持SaaS化交付,无需服务器安装管理平台,可直接通过云端SaaS平台管理,方便快捷。一体化管控:支持全类型终端的统一管理与集中策略下发,对安全事件一键隔离处置。
病毒防护
风险场景:
组织内部终端呈现覆盖面广、点数众多、网络化办公等特点,新型未知病毒、勒索病毒出现,严重影响用户日常办公,无法保障内部核心数据安全。
应用场景:
基于AI技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数量极少,并且不会随着病毒数同步增长,因此,AI技术具有更好检出效果、更低资源消耗的优点。 当然,仅靠一个AI杀毒引擎是不够的,深信服的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、AI 技术的 SAVE 引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。
设备联动
风险场景:
绝大部分组织内部均已部署如防火墙、入侵防御等边界网关设备,但相关设备往往是各司其职,无法形成有效的整体安全防御体系。
应用场景:
深信服 EDR 产品能与 NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。EDR产品可与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。可与防火墙 NGAF、SIP 产品进行关联检测、取证、响应、溯源等防护措施,与 AC 产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
服务器主机防护
风险场景:
基于传统服务器,云化虚拟机等数据中心场景,域内不同权限业务域访问关系混乱,流量不可视,无法应对业务承载位置动态变化导致的边界消失,威胁横向漂移等诸多问题
应用场景:
创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
