首先，建议采用最新版本测试。

1、EDR测试环境

终端检测响应平台（EDR）是深信服公司提供的一套终端安全解决方案，方案由轻量级的端点安全软件（Agent）和管理平台（MGR）共同组成。

EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位。

端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应，形成新一代的安全防护体系。

本次我们的测试拓扑如下：

2、EDR配置过程

2.1、服务端配置

本次部署，采用EDR管理平台虚拟机模板直接导入VMWARE中的方式

根据接入终端的数量，对服务器的配置要求也不同，一般终端数在50-500，建议配置4核CPU、4G内存、250G硬盘，终端数在500-2000时，建议配置4核CPU、8G内存、500G硬盘。本次测试采用4核CPU、8G内存、500G硬盘的配置。

导入虚拟机后，将虚拟机网卡接入到相关虚拟交换机下，然后开机，进入系统后，将默认的IP地址10.251.251.251修改为192.168.1.1。

为确保EDR各项功能使用正常，建议管理平台可与以下服务器通信：

（云脑）漏洞补丁相关：https://upd.sangfor.com.cn

（云脑）接入云脑授权：https://auth.sangfor.com.cn

（云脑）云查服务器：https://analysis.sangfor.com.cn

（云脑）云安全计划：https://clt.sangfor.com.cn

（CDN）漏洞补丁、规则、病毒库地址：http://download.sangfor.com.cn

客户端可与管理平台的TCP 443、TCP 8083、TCP 54120通信。

         使用浏览器打开https://192.168.1.1，使用用户名admin，密码admin登录，并修改管理员密码。导入相关测试授权即可。

2.2、客户端配置

在EDR管理平台中，系统管理——终端部署下，下载客户端安装程序。

将EDR客户端安装程序复制到相关终端上，安装程序的文件名不建议修改。

双击安装，安装完成即可。

3、EDR测试效果

3.1、终端资产管理

在EDR管理平台——终端管理，可以看到在线的终端

在终端清点下，可以看到终端的操作系统、安装的应用软件、开放的端口等

3.2、病毒查杀

在威胁检测——终端病毒查杀下，可以配置快速查杀或者全盘查杀

此时在终端上也可以看到EDR客户端开始查杀

等待查杀结束后，可由检测详情：

点击处置即可。

EDR对常驻内存病毒也可查杀，本次测试在个别服务器上就发现有此类病毒

该病毒利用WMI与Powershell方式进行无文件攻击，并常驻内存进行挖矿。

3.3、漏洞扫描

在威胁检测——终端漏洞查补下，可以对终端做漏洞扫描

添加漏洞扫描任务：

扫描完成后，根据策略设置，可以让终端从EDR管理平台或者微软补丁服务器下载补丁（相关设备需可以访问外网）

3.4、基线检查

在威胁检测——终端基线检查下

3.5、微隔离

通过微隔离功能可以对服务器进行防护，只放通必要的业务端口，禁止所有的非必要的端口，提升业务的安全性。通过可视化的方式查看到流量隔离状态。

策略配置也非常简单：

3.6、响应中心

本次测试，在响应中心可以看到个别服务器已失陷，且存在蠕虫病毒、木马病毒、暴力破解的威胁事件。

对于暴力破解，在系统日志中也得到验证。

3.7、安全日志

在安全日志下，可以查看到EDR记录的相关日志信息。