一.版本名称
EDR3.5.2
二.版本概述
EDR3.5.2 版本于 2021 年 5 月 31 日正式发布,此版本主要合入了 3.2.33、3.2.36 版本功能,主要价值点如下。
1.远程协助
当被管控的终端出现故障时,管理员能够通过远程协助功能对终端进行远程控制,快速、安全的响应解决终端问题。
2.终端广告软件弹窗拦截
终端大量软件为盈利自带广告弹窗功能,给用户的办公带来很大的干扰。用户希望能够对终端进行一键弹窗拦截,减少垃圾信息的干扰。EDR 终端软件弹框拦截功能能够拦截终端软件广告弹窗、新闻弹窗等,为用户提供一个纯净的工作环境。
3.USB 外设管控防护
未经授权的移动存储介质接入内网终端,可能会导致原本封闭的系统面临病毒、木马、非授权访问、数据泄密篡改等多种安全威胁。USB 存储设备管控,通过平台配置安全管控策略,针对终端接入 USB 存储设备的行为进行检测、上报和处置,当终端检测到有存储设备接入时,会及时根据配置的安全策略及时禁用或依据白名单等放行,同时终端会记录和上报安全日志,并可设置终端弹窗告警提示终端用户。
4.轻补丁漏洞免疫
当前热点威胁事件中通过漏洞利用攻击发生的威胁事件最高,客户首选通过打补丁修复漏洞的传统方案。然而,传统的漏洞修复方法存在需重启才能生效、以及补丁打不上等问题,影响客户业务不间断运行。
轻补丁漏洞免疫,通过补丁规则匹配定位问题代码内存片段,直接替换内存中问题代码完成修复,无需重新启动进程调用内存。无需下载补丁重启电脑,快速修复,对业务系统“零”干扰。
5.PC 客户端内存优化:进行了内存优化,让 EDR 更符合轻量化的终端产品
6.网端云整体联动优化:支持更多的安全日志上报,为安全事件提供追踪溯源的证据,提升安全事件的处置闭环
三.新功能介绍
远程协助、终端广告软件弹窗拦截、USB 外设管控防护、轻补丁漏洞免疫等功能是 3.2.33 或 3.2.36 版本功能,具体参考 3.2.33 和 3.2.36 版本发布文档。下面介绍此版本新增或优化的功能。
1.安全能力加强
(1)增加 autocad 病毒文件&PE 修复感染型文件修复:默认支持,界面配置不可见。
(2)增加计划任务与 WMI 程序扫描:下发病毒查杀时,会默认对计划任务与WMI 程序扫描查杀,如下图:
2.powershell 白名单
在策略中心增加 powershell 的白名单设置项。正常运行的 powershell 脚本参数可以通过添加白名单参数来放行,达到降误报的效果,已经内置了部分白名单参数。如下图:
3.终端行为与系统日志采集
(1)在策略中心开启行为采集开关后,会在终端上采集进程的各种行为:创建进程,退出进程,创建文件,删除文件,重命名文件,创建注册表,删除注册表,修改注册表,网络链接等
(2)在策略中心开启系统日志采集开关后,会在终端上采集安全日志,powershell 日志,应用程序日志,系统日志
EDR 与 SIP 联动后,采集的终端行为和系统日志会上报给 SIP 平台集中展示分析(注意,当前对应的 SIP 版本还没有正式发布)。
4.SSH 服务设置
SSH 设置提供了开关设置,开关默认是关闭的,若手动开启后会在 8 小时后自动关闭,如下图。
5.业务端口和控制台管理端口拆分将终端升级下载包的访问端口与管理平台控制台访问端口进行了拆分,并提供页面的配置。
6.自身安全加强
合入了截止当前发现的安全风险,使用此版本实施,不需要再打安全加固补丁。
四.升级说明
1.升级注意事项
(1)3.5.2 版本合入了 3.2.33、3.2.36 两个版本功能,支持从 3.2.21、3.2.32、3.2.33、3.2.36 版本直接升级。
(2)如果终端数量多,建议升级管理平台前,先设置部分终端先升级,观察没有问题后再放开所有终端升级,如下图:
(3) 升级后 SOC 与 x-central 的联动功能将不可用,若客户需要则需要联系研发出补丁包支持
(4)【响应中心】->【远程维护】下的脚本下发功能将隐藏,无法使用
(5)3.2.33 和 3.2.36 是两个并行的分支版本,不能相互升级,且 3.2.33 版本轻补丁漏洞免疫功能在 3.2.36 版本没有,后续主线版本会合入这两个分支版本的功能。
2.获取升级包
访问深信服社区(bbs.sangfor.com.cn),在/自助服务/软件下载/终端检测响应平台 下载升级包。如下图:
3.升级路径支持从以下版本升级
EDR3.2.21 ->EDR3.5.2
EDR3.2.32 ->EDR3.5.2
EDR3.2.33 ->EDR3.5.2
EDR3.2.36 ->EDR3.5.2
4.升级方法
步骤 1:下载升级包。
步骤 2:在管理平台的升级页面【系统管理/升级管理/平台和终端升级】,
点击【导入升级包】加载升级包并升级,如下图:
步骤 3:确认平台及终端版本都是 3.5.2
