明御终端安全及防病毒系统EDR
来源:
明御终端安全及防病毒系统EDR.xmind1.明御终端安全及防病毒系统-EDR-V3.0R25C04产品白皮书-01_102328.docx1.明御终端安全及防病毒系统V3.0R25C06解决方案-刘伟-20250916_161044.docx- 网络安全整体结构理解图
0. 产品介绍思路
从 AI-APT 顺下来,AI-APT 是在网络流量里发现攻击,但很多时候真正的攻击动作还是落在终端和服务器上,比如恶意进程、勒索加密、挖矿、Webshell、反弹 Shell、横向移动这些,所以这里就要讲 EDR。EDR 的作用是把主机侧发生了什么看清楚,并且能查杀、隔离、阻断和溯源。在等保 2.0 里,它主要对应设备和计算安全、恶意代码防范、入侵防范、安全审计、漏洞管理和安全处置。功能模块可以记成终端管理、防病毒、勒索防御、漏洞和基线、攻击检测、威胁情报、微隔离和响应处置。部署位置上,管理控制中心一般在安全运维管理区或数据中心管理区,客户端 Agent 装在 PC、服务器、虚拟机、工控主机和信创终端上;部署方式常见是一个中心管多个客户端,也可以多中心级联、离线升级、专网部署,并和 AiLPHA、APT、防火墙、零信任等产品联动。讲完 EDR 后可以再往日常办公场景转:EDR 偏攻防检测和处置,但员工怎么接入、终端合不合规、数据怎么外发,就要讲办公智盾。
1. 一句话总览
明御终端安全及防病毒系统 EDR 是装在终端和服务器上的主机安全产品:通过客户端采集主机侧行为,发现病毒木马、勒索、挖矿、漏洞、弱口令、违规外联、横向移动和异常进程,并支持隔离、阻断、查杀、溯源和响应处置。
通俗记忆:
EDR = 终端真相源 + 防病毒 + 勒索防御 + 主机入侵检测 + 响应处置它不是单纯杀毒软件。杀毒偏“发现并清除恶意文件”,EDR 更强调 检测、调查、响应、闭环处置。
2. 产品是干什么用的
EDR 主要解决主机侧安全问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 终端和服务器有没有中毒 | 防病毒、网马查杀、威胁情报、云沙箱、AI 鉴定 | 病毒告警、查杀记录、恶意文件处置 |
| 勒索和挖矿怎么防 | 勒索诱饵、行为防护、文件保险柜、挖矿行为分析 | 勒索阻断、样本备份、风险主机清单 |
| 主机有没有被入侵 | 基于 ATT&CK 检测执行、提权、凭据访问、横向移动、C2、数据外传等行为 | 攻击阶段、攻击源、受害主机、风险实体 |
| 漏洞和弱配置怎么发现 | 漏洞扫描、补丁修复、弱口令、基线检查、勒索评估 | 漏洞清单、修复记录、基线报告 |
| 出事后怎么处置 | 终端隔离、文件隔离、IP/域名封禁、进程阻断、事件调查 | 处置闭环、溯源材料、运维日志 |
核心价值是:把主机上发生了什么、风险在哪里、如何处置变成可见、可控、可追溯。
3. 在等保 2.0 里哪里体现
EDR 在等保 2.0 中主要支撑 设备和计算安全、恶意代码防范、入侵防范、安全审计、漏洞管理和主机侧响应处置。
| 等保相关方向 | EDR 对应能力 | 怎么理解 |
|---|---|---|
| 恶意代码防范 | 防病毒、网马查杀、勒索防御、挖矿防御 | 发现并阻断病毒木马、勒索、挖矿等恶意代码 |
| 入侵防范 | ATT&CK 攻击阶段检测、反弹 Shell、暴力破解、端口扫描、内存马检测 | 判断主机是否正在被攻击或已经被控制 |
| 安全审计 | 开关机审计、文件访问监控、运维日志、防护日志、操作日志 | 记录主机侧关键行为,便于测评和追责 |
| 漏洞和风险管理 | 系统漏洞、数据库漏洞、Web 容器漏洞、弱口令、基线检查 | 支撑日常巡检、整改和复测 |
| 安全处置 | 终端隔离、进程阻断、文件隔离、IP/域名封禁 | 发现问题后能快速控制影响范围 |
注意边界:
Important
EDR 覆盖的是主机和终端侧。网络边界防护、应用访问控制、API 审计、数据库审计和集中日志运营仍需要防火墙、WAF、API 审计、数据库审计、AiLPHA 等产品配合。
可交付材料包括:
- 终端资产清单
- 病毒查杀记录
- 漏洞扫描与修复记录
- 基线检查报告
- 终端隔离和响应处置记录
- 防护日志、运维日志和风险报表
4. 产品功能有几个大的功能模块
按 XMind 和白皮书,可以记成 8 个大功能模块:
| 模块 | 作用 |
|---|---|
| 终端管理 | 展示终端网络、账号、软件、进程、端口、性能,支持远程操作、资产指纹、外设和移动存储管控 |
| 防病毒 | 本地引擎、多引擎防护、主动防护、病毒和网马查杀、Web 目录检测、强力查杀与修复 |
| 勒索与挖矿防御 | 事前弱点发现,事中诱饵和行为阻断,事后样本备份和溯源;识别未知挖矿程序 |
| 漏洞、审计与风险评估 | 漏洞发现、漏洞修复、主机 IPS、弱口令、风险账户、基线检查、定期巡检 |
| 风险告警与攻击检测 | 告警聚合、AiQL 查询、攻击阶段识别、ATT&CK 全阶段检测、内存马检测、反弹 Shell |
| 威胁情报与微隔离 | IOC 智能鉴定、沙箱分析、流量画像、通信关系图、主机间访问控制 |
| 响应处置 | 终端隔离、文件隔离、IP/域名封禁、进程阻断、违规外联处置、事件调查 |
| 扩展平台能力 | 屏幕水印、网页防篡改、Web 应用防护、CC 防护、策略管理、多级中心、用户认证、日志报表 |
也可以按售前口径简化:
资产看清楚 -> 风险找出来 -> 攻击检出来 -> 终端隔离住 -> 证据留得下5. 产品部署在哪里
结合整体安全架构,EDR 的部署位置可以分成两层:
- 管理控制中心:部署在安全运维管理区、数据中心管理区或客户指定的服务器资源上。
- 客户端 Agent:安装在被管控主机上,包括办公 PC、服务器、虚拟机、工控主机、云主机、信创终端等。
常见覆盖对象:
- 办公终端:员工电脑、笔记本、开发测试终端
- 服务器主机:Web 服务器、数据库服务器、应用服务器、中间件服务器
- DMZ 主机:公网 Web、邮件、API、代理服务等对外暴露资产
- 数据中心主机:核心业务系统、虚拟化平台、容器或云环境中的主机
- 工控和专网终端:可安装 Agent 的工控主机、运维主机和专网服务器
记忆图:
安全运维管理区
└─ EDR管理控制中心
├─ 办公终端Agent:钓鱼、勒索、违规外联、外设风险
├─ 服务器Agent:漏洞、入侵、Webshell、横向移动
├─ DMZ主机Agent:公网攻击、Web入侵、主机防护
└─ 分支/专网Agent:本地主机防护,上报中心统一运营6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 1/N 单中心部署 | 普通客户、单区域或中小规模终端管理 | 一个管理中心,N 个客户端 Agent |
| N/N 多中心级联 | 省市县、多分支、多部门、复杂网络 | 多个中心分层级联,上级看下级态势 |
| 纯软件部署 | 用户已有服务器、虚拟化或信创资源 | 管理平台部署在 Linux 环境,客户端装在主机 |
| 离线升级部署 | 专网、隔离网、不能连互联网 | 主程序、病毒库、漏洞库、补丁库离线导入 |
| 联动部署 | 客户已有 SOC、AiLPHA、APT、防火墙、零信任 | EDR 提供终端数据并执行处置动作 |
管理平台环境要点:
- 管理平台为 B/S 架构,当前主要部署在 Linux 系统。
- 支持 X86、ARM、MIPS 架构和部分信创环境。
- 安装时通常需要 root 权限。
- 客户端支持 Windows、Windows Server、Linux Server 和部分国产操作系统。
7. 典型联动方案
| 联动产品 | 联动价值 |
|---|---|
| AiLPHA 安全分析与管理平台 | EDR 提供终端侧模型数据,AiLPHA 做高级威胁分析,最终由 EDR 执行处置 |
| 明御 APT 攻击预警平台 | APT 看边界和流量,EDR 看终端和主机,形成边端联合防御 |
| 明御安全网关 / 防火墙 | 边界阻断恶意 IP、域名和异常连接,EDR 做主机侧查杀和隔离 |
| TAM 零信任 | EDR 提供终端风险和评分,支撑零信任动态访问控制 |
| 运维审计与风控 DAS-USM | 双向同步资产信息,辅助资产健康监测和端点部署 |
8. 新人速记
明御终端安全及防病毒系统 EDR
├─ 是什么:主机和终端侧的检测响应产品
├─ 干什么:防病毒、防勒索、查漏洞、看入侵、做隔离、留证据
├─ 等保作用:恶意代码防范、入侵防范、主机审计、漏洞修复、处置闭环
├─ 功能模块:终端管理、防病毒、勒索、漏洞基线、攻击检测、微隔离、响应处置、日志报表
├─ 部署位置:管理中心在安全管理区,Agent装在PC/服务器/虚拟机/工控主机
├─ 部署方式:单中心、多中心级联、软件部署、离线升级、平台联动
└─ 产品边界:主机侧强,网络边界、应用审计和数据治理要配合其他产品9. 一句话复述
明御终端安全及防病毒系统 EDR 是客户主机侧的安全闭环产品,通过管理中心和客户端 Agent 统一管理终端与服务器,发现病毒、勒索、漏洞、弱口令、异常进程、横向移动和违规外联,并支持隔离、查杀、阻断、调查和报表输出,适合支撑等保合规、重保/HW、勒索防御、服务器防护和日常终端安全运营。