- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-EDR任务上报典型配置举例
本章节下载: 08-EDR任务上报典型配置举例 (530.53 KB)
本文档介绍终端安全管理系统EDR任务上报功能配置举例。EDR任务上报包括如下功能:
进程文件上报:控制中心实时收集客户端的进程快照,如果发现进程异常,可根据其进程ID设置该进程文件上报,以便检测其进程是否有威胁;
U盘文件上报:控制中心可设置根据文件类型、大小决定是否上报,并可设置上报方式;
文件MD5检测:可根据可疑进程的MD5值,设置上报;
快照信息上报:可设置上报进程快照的时间间隔;
文件名检测:可根据可疑文件的文件名,设置上报;
阈值上报设置:可设置CUP利用率阈值和网络利用率阈值,超过则上报。
本文主要介绍进程文件上报、U盘文件上报和文件名检测设置。
威胁检测和终端联动规则另文单独介绍。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解EDR任务上报特性。
终端安全管理系统组网方式比较简单,只要网络可达即可。
在终端设备安装控制中心后,客户端可以自动连接到控制中心。管理员可直接通过WEB浏览器进行管理。
控制中心安装参见《H3C SecCenter CSAP-ESM终端安全管理系统 安装指导》。
· 登录控制中心EDR系统。
· 进程文件上报:检查某一个客户端,对正在运行的可疑进程,设置上报进程文件。
· 设置U盘文件上报:对系统内所有客户端,设置插入U盘时,上报程序、文件(EXE/DLL)、Doc文档(微软复合文档,doc/xls/ppt等)、脚本(bat/vbs)等信息。
· 设置根据文件名检测:对系统内所有客户端,检测运行程序文件名,上报到syslog服务器。
打开浏览器输入控制中心地址进入控制中心登录页面,点击<进入控制中心>进入账号登录页面,输入账号密码和验证码,初始账号为admin,密码为admin。
选择<EDR>,点击<登录>进入终端安全管理系统EDR首页。
图1 进入控制中心
图2 登录窗口
选择<EDR管理>,点击一个客户端名称,在<上报设置>页,选择<进程文件设置>,在进程ID中输入进程ID,点击<应用>按钮,则进程文件上报设置成功。
图3 进程文件上报
获得进程ID方法:管理员打开客户端,如图,查看其进程快照,如果发现某一个进程的CPU占用比较高,或者内存占用很高,需要对此进程进行检查,即可使用此进程ID。
选择<EDR管理>,点击<EDR配置>,打开EDR详细配置窗口。点击<任务上报设置>页,可开始设置所有客户端U盘文件上报。
图4 EDR配置
选择<U盘文件上报>,提交方式设为自动提交,文件大小为默认字节,勾选全部文件类型。点击<应用>按钮,则U盘文件上报设置成功。
图5 U盘文件上报
在<EDR管理>/<任务上报设置>页,选择<文件名检测>,文件名为cmd.exe,设置截止时间。点击<应用>按钮,则文件名检测设置成功。
图6 文件名检测上报
(1) 验证上报的进程文件:通过https://控制中心IP:端口/debug 中查看,如下图。
图7 进程文件上报验证结果
(2) 验证U盘文件上报:通过https://控制中心IP:端口/debug 中查看,如下图。
图8 U盘文件上报验证结果
通过下发的策略正常上报U盘文件并且可下载文件,下载后可解压查看。
图9 U盘文件上报验证结果下载列表
(3) 验证检测文件名上报:若检测到符合的文件则客户端将该文件提交给syslog服务器;若未检测到文件,则不上报。文件名上报syslog关键字FileNameDetectReport,通过关键字进行查找。(操作说明见《Syslog服务器配置和使用.docx》)
图10 验证检测文件名上报
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
