殺毒軟件

深信服終端檢測響應平臺（EDR）：

產品介紹

  終端檢測響應平臺（EDR）是深信服公司提供的一套終端安全解決方案，方案由輕量級的端點安全軟件（Agent）和管理平臺（MGR）共同組成。
  EDR 的管理平臺支持統一的終端資產管理、終端病毒查殺、終端合規檢查，支持微隔離的訪問控制策略統一管理，支持對安全事件的一鍵隔離處置，以及熱點事件 IOC 的全網威脅定位。
  端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數據信息采集上報、一鍵處置等。深信服的 EDR 產品也支持與 AC、SIP、AF、SOC 產品的聯動協同響應，形成新一代的安全防護體系。

功能介紹

  終端資產的全面管理：全網終端資產的全面盤點，包含業務服務器的終端和用戶 PC 的終端。盤點每臺終端設備的名稱、IP 地址、MAC 地址、操作系統、CPU 利用率、內存利用率、所屬組織、責任人、資產編號、資產位置等。每一臺的終端上的資產信息清晰，每一個安全事件責任到人，使得安全管理能落實到位。
  終端安全的合規審查：每一個組織都有自己的終端安全合規要求，特別是等級保護的合規要求，對主機的安全要求。終端安全合規審查依據等級保護的主機安全要求進行設計，對身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等策略進行合規性審查，滿足企業建設等級保護系統的主機安全要求。
  勒索病毒的實時防御：勒索病毒通過加密文件的方式，要求中招者支持一定數額的贖金。這種攻擊方式越來越流行，每天都有客戶反饋中招。深信服 EDR 能夠非常精準的識別不同的勒索軟件家族，并通過專業分析識別出種種勒索病毒感染行為和加密特征，對最新的勒索軟件進行有效的查殺，防止用戶感染最新的勒索軟件。
  系統漏洞檢測與修復：系統存在不同風險等級的漏洞，如果沒有及時識別和修復，攻擊者很可能利用系統漏洞進入客戶內網，對業務造成的影響和損失經常無法估計。EDR 能夠幫助管理員識別內網終端系統漏洞風險，并進行修復，加強系統安全性。
  入侵攻擊的主動檢測：終端主機被入侵攻擊，導致感染勒索病毒或者挖礦病毒，其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。深信服的 EDR 主動檢測暴力破解行為，并對發現攻擊行為的 IP 進行封堵響應。針對 Web 安全攻擊行為，則主動檢測 Web 后門的文件。
  熱點事件的快速響應：深信服安全云腦通過全球的大數據安全分析，提供熱點事件的IOC 情報，推送情報數據給 EDR 產品。EDR 產品能根據 IOC 情報數據快速的全網威脅定位分析，及時發現和響應最新的熱點事件，并且根據歷史行為數據進行溯源分析，避免組織受到安全事件的通報

終端安全應用場景

勒索病毒及未知威脅防護場景

①、終端主動防御：通過安全基線檢查及修復，防爆破檢測和防御，微隔離技術降低威脅侵入風險，降低威脅影響面，通過勒索誘捕方案針對性查殺勒索病毒，主動防御，全面防護。

②、基于AI的智能檢測：通過人工智能SAVE引擎的無特征鑒別技術，對勒索病毒及未知威脅進行實時檢測，配合威脅情報，精確識別未知威脅。

③、持續終端檢測行為：在終端對所有文件行為及進程，外聯域名，URL，IP等關鍵信息進行監控，保障非法行為及時發現與制止，尤其是勒索病毒加密動作的制止。

④、全網威脅情報：威脅情報平臺每天實時分析來自互聯網和深信服安全產品的海量數據，通過威脅情報平臺中集成的關聯分析與智能算法，能在第一時間發現潛在威脅，并向深信服EDR推送防御能力。

隔離網終端防護場景

①、擺脫云查引擎束縛：人工智能檢測引擎SAVE通過輕量級算法模型即可有效檢測包括各類勒索病毒等惡意威脅，擺脫云查引擎束縛，離線查殺效果優異。

②、輕量級終端消耗：將重載運算放到管理平臺端，終端僅安裝輕量級agent，大幅度降低終端資源消耗。

③、內網威脅感知：構建企業內網本地的文件信譽庫，對單臺終端上的文件檢測結果匯總到平臺，做到內網威脅一臺發現，全網感知，圍剿式查殺。

④、業務流量可視化：采用統一管理的方式對終端的網絡訪問關系進行圖形化展示，可以看到每個業務域內部各個終端的訪問關系展示以及訪問記錄。

網段雙重防御場景

①、云網端縱深防御：通過網絡域和終端域的安全防御全覆蓋，構建系統化防御能力抵御不同介入點風險，構建由端點到網絡的縱深防御能力。

②、威脅處置閉環：策略級細粒度集成，一個安全域識別到的威脅可以動態調整另一個安全域的安全配置，增強整體防御能力，有效抵御威脅。

③、安全風險一鍵處置：網端智能協同，當發生威脅時，可通過網絡端設備的一鍵處置，將終端域風險迅速隔離查殺，并在網絡域自動生成聯動封鎖規則，全面封鎖威脅。

④、端點溯源取證：基于網絡域及端點域威脅上下文的深度關聯，網絡流量層分析威脅的特征，在端點上實現惡意載體的深度行為分析、取證，精準定位諸如無文件攻擊、勒索病毒、挖礦病毒等熱點攻擊。