网御星云终端高级威胁检测与响应系统EDR

网御星云终端高级威胁检测与响应系统（简称EDR），帮忙快速构建新一代终端安全防护系统，依托全量终端运行信息采集和业务资产盘点为核心，应用“数据随动机制”对信息的输入、输出内容动态调整，持续为终端提供威胁的检测与响应能力。

首页 > 产品中心 > 终端安全 > 网御星云终端高级威胁检测与响应系统EDR

产品简介

网御星云终端高级威胁检测与响应系统（简称EDR），帮忙快速构建新一代终端安全防护系统，依托全量终端运行信息采集和业务资产盘点为核心，应用“数据随动机制”对信息的输入、输出内容动态调整，让检测维度随阶段变化而变化、响应方法随威胁变化而变化、溯源视角随时间变化而变化，持续为终端提供威胁的检测与响应能力。通过将高危命令、恶意行为、单点威胁、恶意代码驻留进行安全矩阵映射，实现对高级持续性威胁的检测和响应，提前截断攻击链条。在攻击者视角帮助管理人员看到、看清、看全安全威胁发生过程，为安全威胁的处置及后续整改提供有力支撑。

产品构成

产品架构

“数据随动”设计

采用“串行”工作模式，逻辑结构依次执行，数据处理过程中容易给终端带来比较大的工作负担，造成卡顿、慢等问题。“随动”是整体产品的核心部分，一方面，“随”字本意是“从”的意思，终端只要在运行过程中，数据就会一直产生，但是产生的数据并不是一成不变，EDR顺从信息的变化以及安全威胁的变化来动态调整防护模式，根据不同的场景需求，灵活调用检测、分析、响应、溯源等不同引擎，给终端提供最契合并且不间断的安全能力。

技术优势

全量采集
具备终端运行信息采集能力，记录终端行为痕迹，包括：进程、网络、服务、注册表、文件、账户、外设、指令等，便于对终端安全威胁进行回溯

场景分析
具备终端采集日志、检测日志的实时分析、二次关联分析能力，深入挖掘潜在安全威胁，构建网络安全、数据安全、业务安全威胁场景化风险分析模型

系统防护
具备终端系统命令或系统应用等关键文件的保护能力，防止关键信息被恶意篡改

威胁检测
具备终端威胁风险甄别能力，包括：病毒风险甄别、入侵风险甄别、恶意行为甄别、脆弱性甄别等，并对终端风险进行综合量化评分

实时响应
具备全面的响应能力，包括进程响应、网络响应、文件响应、脚本响应等，实现威胁快速处置；并且支持全网自动响应策略，通过告警信息可自动触发恶意IP、文件的处置操作

七大核心能力应对终端威胁 icon

运营展示:威胁态势，资产态势

资产管理
资产清单

资产概览

业务概览

监控采集
命令行采集

账号采集

资产变更采集

自启动项采集

进程采集

网络采集

文件采集

攻击检测
异常行为

恶意行为

威胁挖掘

情报碰撞

基线核查

病毒查杀

处置响应
网络响应

文件响应

进程响应

外设响应

脚本响应

联动响应

分析溯源
场景分析

全文检索

威胁溯源

日志报表
采集日志

检测日志

响应日志

风险概览

报表管理

资产管理

详尽掌握资产及业务系统现存状态，在运行环境中反向生成CMDB，掌握所有需保护业务系统正常状态，在发生疑似安全事件时可以通过资产数据做支撑比对，便于发现终端异常态势。

监控采集

全量记录终端运行过程中所产生的信息，为安全分析提供详尽的上下文线索，发现未形成特征的安全的威胁，串联威胁发生过程，是威胁溯源最基础的数据支撑。

攻击检测

攻击检测技战术：已知威胁匹配，攻击行为研判，分析引擎深度挖掘，威胁行为画像，威胁情报赋能。

基线核查
环境基线

软件基线

配置基线

评分模式

漏洞扫描
系统扫描

应用扫描

漏洞查询

漏扫报告

病毒查杀
双病毒引擎

变频查杀

主动防御

恶意行为
勒索检测

挖矿检测

Webshell检测

反弹shell检测

异常行为
账户异常

口令暴破

非法外联

端口扫描

文件篡改

运行状态
客户端离线告警

资产异常监控

客户端资源占用策略

威胁挖掘
高危命令

恶意工具

清除日志

遍历目录

威胁矩阵画像
基于ATT&CK的攻击行为矩阵画像

威胁情报
基于VenusEye的威胁情报库

攻击检测-双引擎病毒查杀 icon

双引擎均支持独立开启、亦可同时使用

狩猎者引擎

引擎名称：V-HUNTER

引擎供应商：景云

守望者引擎

引擎名称：K-WATCH

引擎供应商：火绒

Matrix 矩阵启发式

基于深度学习和大数据的启发式查杀技术，通过对海量样本的分析训练，详细分析恶意样本的分布规律而得到超强的病毒检出率。 Matrix即使一个月不更新病毒库检出率也不会下降，误报率< 0.1‰。

Alchemy 样本行为分析

结合深度卷积神经网络算法，提出了样本动态行为捕获技术和样本多维度静态特征分析技术，实现对大批量样本的多方位准确判别。

MAD多步主防技术

根据样本一系列的行为特征来进行综合的风险判定，其监控和判断能力由后台的大数据训练集群支持。比传统的根据简单的单步行为规则来做监控的主防技术安全系数更高，捕获风险能力更强。

攻击检测-异常行为与恶意行为 icon

攻击检测-威胁挖掘

解锁威胁发现的“万能钥匙”

根据终端行为痕迹挖掘潜在问题，可自定义关联分析规则，图形化操作日志筛选条件自由组合，内置几十种关联规则模板。

攻击检测-威胁情报

威胁情报赋能，基于全量信息与情报信息进行碰撞，快速发现已知威胁，发现更多维度安全问题。

恶意进程检测

文件名称、进程名称、MD5等HASH信息均在分析中心与威胁情报进行碰撞，对终端进行无损威胁检测赋能。

恶意连接检测

基于终端所有的网络链接，包括：IP、DNS等方式与威胁情报进行碰撞，及时发现恶意链接、恶意访问等行为，对威胁来源进行自动响应处置。

响应处置

手动响应
网络封堵、进程封禁、文件隔离、外设管控、脚本执行

自动响应
网络学习并加入黑名单，外设学习并加入黑名单

全网响应
触发式全网响应，情报、异常行为全网预防

联动响应
SDP、NAC设备，态势感知、SOAR、网络威胁分析平台，联动处置

分析溯源-场景分析

对日志进行二次深化挖掘，可将安全分析思路转化成安全检测能力；支持自定义场景模型；支持场景独立概览、独立告警呈现、独立场景报告并周期自动发送至管理员邮箱。

分析溯源-分析工具

分析工具助力快速定位威胁：海量日志全文检索工具，可视化的网络溯源、进程溯源、文件溯源。

日志报表-风险概览

威胁概览
告警统计、受攻击资产总数、攻击源总数、告警类型、威胁态势评分、攻击阶段统计等

威胁维度分析
脆弱性态势、运行态势、病毒威胁态势、威胁情报态势、异常行为态势、入侵攻击态势等

攻击阶段分析
试图攻击统计、入侵成功统计、防御规避统计、控制执行统计、横向渗透统计、痕迹清理统计等

攻击源分析
攻击源排名、内网攻击源组别统计、地理位置统计、攻击次数、攻击类型、攻击资产统计等

受攻击资产分析
受攻击资产趋势、受攻击资产类型、受攻击操作系统、受攻击资产排名、攻击手段等

HVV防护范围

HVV全流程贯穿防护 icon

HVV溯源实例

挖矿分析

挖矿

检测告警
发现异常进程

进程

溯源
发现父进程

进程

溯源
发现原始进程（附带自启动、定时任务等特征）

恶意进程

分析
发现关联的恶意文件和脚本

情报查询
（确认非业务文件）锁定恶意文件

恶意文件

扩散统计
发现所有被感染的主机

下发文件

响应任务
清除所有恶意文件及脚本

勒索分析

勒索布防建设

勒索感染处置

勒索病毒难以防范
勒索病毒与APT结合，潜伏时间长

勒索病毒难以逆向
使用深度的非对称加密算法；病毒变种快，对常规杀毒软件具有免疫性

勒索行为愈演愈烈
随着备份工作的完善，对于不愿意支付赎金的目标，攻击者转而窃取数据，以公开数据或买给竞争对手为勒索

应急事件响应

检测

利用威胁挖掘模块检测有低版本向日葵运行的主机

监控

监控高危主机异常行为：向日葵进程调用了powershell

追溯

回溯向日葵触发的高危操作：可能发现创建账号、提权

封禁

封禁向日葵进程

卫通集团

项目概况卫通集团作为基础电信运营企业，参与HVV行动，在过程中可分为2个阶段来进行防护，一阶段DMZ区6台Web服务器集群、1台数据库服务器，安全管理区1台防篡改服务器、二阶段勘察院DMZ区4台服务器。

建设内容利用EDR的采集、检测能力对用户业务系统运行状态进行监测。配合上层平台和其他安全设备，利用EDR安全分析和溯源功能对告警事件和威胁IP进行定位排查。

部署效果在hvv过程中提供了上亿级别的终端运行数据支撑，提供告警IP是否有进入终端痕迹，还原终端的一切动作。异常时间登录共104条，网络响应共29条，木马病毒共2条，共享违规共2条，防火墙违规共2条，远程桌面违规共2条，开放端口违规共2条，精确网络封堵29次，高危端口关闭2次，高危服务关闭2次。

四川成宜高速

项目概况用户反馈现场环境已有中毒感染迹象，防火墙等其他网络设备也已上报网络病毒日志，但需通过EDR产品进行终端定位，找到并清除病毒源头。

建设内容我司售前人员加急协调EDR软件试用授权及服务器资源，紧急部署了EDR系统，通过EDR定位并清除病毒文件。

部署效果部署EDR系统之后，先后发现异常DNS访问和疑似挖矿进程“buybox”，通过威胁情报判定异常域名非已知情报，属于未知威胁；通过进程溯源发现源头进程crond，通过进程分析，得到原始文件crondr及脚本；通过VT比对，确定crondr为恶意文件；全网发现6台感染主机，通过响应策略一键清除。

海南省大数据局

项目概况大数据管理机构作为一个政府职能部门，主要负责完善人口、法人、空间地理、宏观经济等基础数据库建设，推进跨部门数据交换共享平台的建设，是电子政务云建设和应用的主要单位。也体现了EDR产品在云场景下的重要应用。建设内容本次在电子政务外网区和互联网业务区各部署了一套EDR管理平台，客户端覆盖云内核心服务器2000多台，非核心服务器10000多台，并且后续可以根据委办局上云的数量的增加，而扩展客户端授权。部署效果该项目利用EDR产品实现了资产管理、风险管理、策略管理等需求，细粒度的监控了云主机CPU、内存、磁盘空间等资源的使用情况；通过基线核查、弱口令检查、病毒查杀、反弹shell监控等方面实现了风险评估和安全管控；同时EDR对云主机进行了全天候的运行情况监控，包括进程监控、文件监控、性能监控、行为监控等，可确保第一时间发现云主机问题，保障云主机的正常运行。

产品推荐查看更多>>

瑞翔多功能消磁销毁一体机RX-DT518

瑞翔多功能消磁销毁一体机RX-DT518是一款能够对磁介质、半导体介质和光介质进行消磁销毁处理。

磁介质

半导体介质

光介质

立即咨询查看详情

深信服统一端点安全管理系统aES

深信服统一端点安全管理系统aES，PC&服务器&信创端&容器统管，EPP、EDR、CWPP、HIPS、容器安全能力融合。深信服aES定位，我们不做全家桶、大杂烩，我们是专注于用户端点安全的精专派。杀毒只是我们最基础的能力，聚焦市场上层出不穷的新威胁（勒索、顽固挖矿为代表）、APT式高级威胁检测防护，并快速响应闭环。

立即咨询查看详情

信大捷安指纹型USBKey

指纹型USBKey是信大捷安自研的一款具有指纹识别和加密存储功能的硬件密码设备。该产品内置国密安全芯片、指纹识别模块和存储模块，具有硬件级身份认证、数据加密存储等功能，同时通过指纹识别功能可以打开隐藏加密区，方便重要、敏感文件的存储和使用。

硬件加密

一盘两用

指纹解锁

安全存储

立即咨询查看详情

数字化社区查看更多>>