为加强学校计算机终端的安全管理,提高学校网络信息安全防护能力,网络与信息中心提供了网络安全防护软件EDR,具体使用方法如下:
一、EDR下载
在PC端浏览器地址栏中输入https://172.20.248.119进入EDR下载页面,根据个人计算机操作系统选择点击“windows”或“linux”下载相应EDR安装包,如图1所示。若进入下载页面时弹出“此站点不安全”、“此网站的安全证书有问题”、“您的连接不是私密连接”等安全提示,请忽略该提示,继续访问或继续前往即可。
图1 EDR下载页面
二、EDR安装
1.Windows系统安装EDR
下载windows安装包后双击运行既可安装EDR。
2.Linux系统安装EDR
将下载的linux安装包上传至Linux服务器,并按如下步骤安装:
1)在Linux服务器上执行命令tar -xzvf linux_edr_installer.tar.gz解压安装包;
2)进入解压目录,执行./agent_installer.sh命令安装EDR,默认安装路径为/Sangfor/EDR/agent,如图2所示:
图2 Linux系统安装EDR页面
二、EDR使用
1.查看EDR首页右下角病毒库时间信息,确认是否为当前最新版本病毒库(病毒库一般每个月至少更新一次),若非最新版本,请及时升级病毒库,如图3所示。
图3 查看EDR病毒库版本信息
2.可选择对计算机终端进行快速查杀或选择分区、路径自定义查杀。EDR将会对系统进程、系统启动项、服务与驱动、系统关键位置文件进行病毒查杀,如图4所示。
图4 使用EDR进行病毒查杀
3.查杀完成后,EDR将对扫描过的文件根据安全性自动放入隔离区或信任区,如图5所示.
图5 将扫描过的文件放入隔离区或安全区
[隔离]将发现的病毒文件进行隔离。隔离后的文件可以在“隔离区”查看。
[信任]分析为正常文件后定义为信任。信任后的文件可以在“信任区”查看
[忽略]忽略文件的检查。
4.点击左下角“隔离区”、“信任区”以及查看“安全日志”,点击隔离区可以对隔离文件进行恢复或删除,如图6所示。
图6 恢复隔离区文件
5.可进入设置中心选择病毒查杀文件扫描模式,如图7所示。
图7 EDR设置文件扫描模式
[扫描模式]可选择“极速扫描”、“均衡扫描”、“低耗扫描” 区别为:
1)极速:全速扫描,不限制扫描软件自身的 CPU占用率;
2)均衡:扫描速度和 CPU 占用率达到一定平衡,限制CPU占用率不超过30%;
3)低耗:扫描时尽量少占用CPU资源,限制CPU占用率不超过 10% 。
[文件扫描设置]定义扫描文件的大小以及最大扫描的压缩层级,最大10级。
[发现恶意文件]检测出来的恶意文件可选择“自动隔离”、或“仅上报、不隔离”。
[主动防护]主动防护设置包括文件实时监控设置和勒索病毒防护设置,如图8所示。
图8 EDR主动防护设置
