深信服EDR初体验

子涵

由于深信服专注企业信息安全厂家，一般用户比较难以触及到深信服的产品。EDR是深信服推出的“终端安全响应管理系统”https://edr.sangfor.com.cn/
最近联系了地区销售，要了EDR来试用，整体下来还算满意。
本文不对深信服EDR查杀能力做评测，仅简单分享深信服EDR使用。

他的首页个人比较简洁

对比一下360的界面，我更喜欢深信服EDR的蓝色界面

这个蓝就非常的丑了，但还是有非常多政企单位使用



病毒查杀
深信服EDR一共有4个引擎，一个是深信服自己的SAVE（也有人说是瑞星的库）
SAVE还应用在深信服防火墙、上网行为等产品中
一个是BD（比特梵德）引擎
一个是行为分析，行为分析猜测是火绒的引擎
还有云查，应该是基于深信服云沙箱的


漏洞防护，相当于打了补丁不用重启，防御高危与0day漏洞
这个对企业生产环境比较有用


实时防护界面
值得一提的是弹窗拦截是金山的库


系统工具


系统信息


病毒查杀与系统防护设置界面



内存占用情况，edr开头、ipc_proxy与sf开头的。截图没有开启全盘查杀，仅后台防护时的资源占用。



部分dll签名




深信服EDR最大优势是可以与深信服其他安全产品联动，形成涵盖云、边界、端点上中下立体防御架构，内外部威胁情报可实时共享。
因此，管理后台大大的横幅显示联动状态，同时也清晰展示局域网主机安全状态



在终端管理功能，可以对终端进行管理
眼尖的可以看到远程协助功能,是基于VNC的远程桌面，不支持Server系统远程，同时远程时用户端会有提醒


EDR会将终端运行的服务、程序、端口上报管理平台
可以在平台分析客户端所运行的程序是否存在风险


微隔离功能
微隔离我认为相当于防火墙，可以针对业务、角色、IP下发防火墙策略
比如直接禁止135/137/445/3389（别问我为什么不用组策略）


威胁检测
威胁检测功能可以对终端安全进行检查
值得一提是这个基线检查，对于有信息安全要求或等保要求的企业非常有用


响应中心



沙箱分析
例如https://bbs.kafan.cn/thread-2253644-1-1.html



总结：
深信服EDR或许不是一个优秀的EDR，没有我第一次看到卡巴EDR那种惊艳感。
对于端点安全、攻击链可视化这一块，几乎没有。
深信服EDR与旗下其他产品联动，才能实现一套完整的防护体系。奇安信也是如此。
这个对于中小企业来说可能投入成本太大了，只有政企与大型企业才能玩得起。

1094947421

看起来成绩还不错啊，有bd，好吧。

cyp201555

你们公司的深信服EDR啊？你是公司管网络安全的？

JuMin

深信服EDR对付勒索病毒防御还是可以的

小新爱打小怪兽

哈哈，记得有次深信服来公司推他们的等保2.0，我当时并不了解，深信服也做安全，他说EDR我当时第一反应就是火绒的（第一次再火绒官网看到EDR概念),然后和他们销售人员说，你们用的火绒的哇（毕竟火绒和深信服那段时间正在合作），销售人员听我这么一说，要不是看我是甲方，估计都想给我一个白眼

ybmx2010

这个深信服是这个新闻中的吗？
深信服因监控企业员工投递简历提前获知员工跳槽意向再上微博热搜。
又杀毒又监控的干活？

cyp201555

ybmx2010 发表于 2023-3-22 18:24
这个深信服是这个新闻中的吗？
深信服因监控企业员工投递简历提前获知员工跳槽意向再上微博热搜。
又杀毒 ...

现在任何的上网行为都能实现这个功能，但一般都要在终端电脑安装个小控件，有点像木马

yxzdennis

cyp201555 发表于 2023-3-23 06:43
现在任何的上网行为都能实现这个功能，但一般都要在终端电脑安装个小控件，有点像木马

如果知道电脑装了类似EDR或者XDR的安全软件 还搞花样 纯属没安全意识 要投递也要用自己流量上网呀

chx818

深信服有大佬骂过就是一软路由