EDR解决方案

2021-07-27 13:13:14

产品概述：

终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。

安全闭环

Gartner自适应闭环架构四阶段模型，四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段，EDR是业界唯一完全满足12个建议项的终端安全厂商。

预防阶段
1.通过系统漏洞检测来进行主动风险分析，明确系统层面的漏洞风险是否为可接受风险。
2.通过人工智能引擎SAVE，具有强泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，近乎于预测勒索病毒攻击。
3.通过安全基线核查，实现终端合规控制。

防护阶段
1.通过微隔离模块，细粒度管控终端间访问关系并做到可视化展现。
2.通过一键隔离阻止感染终端持续向外扩散，阻止时间进一步升级

检测阶段
1.通过文件实时监控与主动扫描持续检测威胁事件
2.通过终端围剿式查杀做到一台感染，全网感知，抑制事件进一步爆发
3.通过威胁等级分类确认风险，并按优先级排列，进一步明确内网安全情况，并按优先级进行处理

响应阶段
1.通过文件修复对受感染文件进行修复，当无法修复或修复失败时再进行隔离
2.通过云网端协同联动对全网网络安全架构进行设计，并通过不断完善云网端体系和版本升级进行持续迭代
3.通过EDR针对攻击事件进行溯源分析进行调查与取证，对供给链条进行重新审视，并针对审视结果

人工智能检测引擎
EDR基于人工智能检测引擎SAVE，通过人工智能和深度学习技术，为未知威胁防御提供了坚实保障。
在针对各类未知威胁的识别和查杀上，传统的方式是基于病毒特征库，应对变种病毒永远处于追赶的状态，防护乏力。SAVE智能检测引擎，不再依赖传统方法的字节级特征，而是使用AI 技术提取稳定可靠的高层次特征，依靠强大的泛化能力，可以精确检测未知病毒或者病毒变种。

SAVE的检测过程分为本地查杀和云端查杀两个阶段。本地查杀阶段会调用规则引擎，AI引擎，变形对抗引擎，数字签名引擎。SAVE 通过规则引擎快速处理已知常见病毒，通过 AI 引擎应对新型未知攻击，变形对抗引擎能有效处理恶意文件的免杀手段，数签引擎可以有效处理可信白文件。云端查杀主要处理本地引擎判为可疑的文件。在用户允许的前提下，SAVE会上传文件的检测特征到云端进行更细粒度的检测。云端部署了检测能力更强的检测引擎，可以对文件进行更深入的分析，做出准确判断。SAVE引擎的检测模型在云端（安全云脑）会自动持续演进，包括机器学习特征集更新、AI检测模型演进等。通过升级服务下发最新检测模型到终端或者设备上，不断提升本地检测的能力。

轻代理是适用于桌面云环境的Agent部署形式，EDR采用的即是轻代理模式，在桌面云环境下支持也具备主动检测与防御能力，同时对系统资源的占用大大降低。轻代理插件适配包括Vmware、OpenStack、Hyper-v、超融合在内的所有云平台，且与虚拟化版本无强关联，具备广泛的适用性。

EDR解决方案