深信服-edr实验题库

总部Server安装FDR客户端远程mstsc输入总部管理ip，建议记住登录账号密码登录EDR服务端控制台，点击系统管理->终端部署->通用部署：

点击下载安装包。

双击安装包进行安装

勾选同意免责声明，点击开始安装

等待安装包从EDR服务端下载一些安装必要文件

下载完成后，自动进入安装阶段

安装完成后，点击开始防护，代表已完成客户端agent安装

可以在EDR控制台“终端管理”看到该终端上线

二.在总部EDR配置微隔高。需要达成以下目标:在微隔高分别新增业务系统“Server”和“PC”。快速查杀(50为业务系统Server的终端，01业务系统PC的终端)在微隔离中添加服务SMB，协议为TCP，端口为:135、136、137、139、445.配置微隔高策略，源业务系统为PC，目的业务系统为查杀状态Server，拒绝SMB服务和RDP服务。配置完成后，登录总部WindowsPC，分别运行以下命令登看“telnet503389”和“telnet50135”。登录总部EDR，在[系统管理/终端部署]界面中，选择Windows，在通用部署中点击<下载安装包部署>，在[下载器部署]中[下载安装包]。下载完成后，将安装包通过远程桌面放到总部WindowsPC和总部Server。分别在总部WindowsPC和总部Server中完成客户端安装。安装完成后，登录总部EDR，在[微隔离/业务系统]界面中，新增业务系统。新增业务系统<PC>和<Server>。在[服务]界面中新增SMB服务。在[微隔离策略]界面中，新增策略。填写参数信息，参数信息参考如下：策略名称：自定义源：选择<PC>目的：选择<Server>服务：选择<SMB>动作：选择<拒绝>。在[微隔离策略]界面的右上角，开启<策略生效开关>。登录总部WindowsPC验证结果。注意事项策略配置完成后，需要勾选<策略生效开关>，否则策略不生效。开启“流量上报”，可以查看业务系统流量访问情况，包括已放通流量和未放通流量。帮助用户梳理业务系统访问关系及业务系统状态。实验效果未启用微隔离策略之前，在总部PC上通过命令行窗口执行“telnet503389”和“telnet50135”可以正常联通。启用微隔离策略之后，在总部PC上通过命令行窗口执行“telnet503389”和“telnet50135”均显示连接失败。勒索病毒除杀1.登录总部EDR（0admin/Sxf@2022）配置测试机所在分组的“勒索病毒防护策略”。依次打开[终端管理/策略中心/实时防护]，如下图配置，开启“勒索病毒诱饵防护”和“文件实时监控”

注意：开启“文件实时监控”，文件类型只选择“文档文件”。因为勒索病毒防护功能，依赖文件实时监控，所以要开启文件实时监控。同时为了避免文件实时监控功能检测出勒索病毒，影响测试效果，所以文件类型不选择可执行文件。“文件实时监控”和“勒索病毒防护”右边图标需点亮开启，点此图标点亮，管理端配置的策略才会下发到终端。2.用mstsc远程测试机（01User/Win#@desk），后将“勒索病毒样本”解压到测试机桌面，解压密码为sangfor。3.

为避免运行勒索病毒样本影响其它电脑，在线实验环境的PC均已安装EDR客户端。若学员在电脑本机搭建实验环境，注意做好实验环境的脱机，只放通到MGR的通信，避免勒索病毒在内网横向传播的风险。4.

将解压后的“勒索病毒”样本后缀改为.exe，运行样本文件。需要安装.NETFramework3.5功能，先在测试机打开浏览器，输入进行AC上网验证（User1/admin@123）随后打开控制面板进行安装Windows功能。

5.测试机双机打开EDR终端防护中心后运行病毒样本文件，后观察测试电脑右下角，EDR发现勒索病毒并弹出告警处理提示框（注意，管理员和终端不能开启免打扰模式）6.

检查电脑文件依然处于正常未加密状态，勒索病毒防控成功2.0.2.

注意事项开启“文件实时监控”，文件类型只选择“文档文件”。因为勒索病毒防护功能，依赖文件实时监控，所以要开启文件实时监控。同时为了避免文件实时监控功能检测出勒索病毒，影响测试效果，所以文件类型不选择可执行文件。“文件实时监控”和“勒索病毒防护”右边图标需点亮开启，点此图标点亮，管理端配置的策略才会下发到终端。linxu恶意样本防护确认实验端已部署EDR，确认Linux端是否有装有edr，确认edr客户端是否在管理平台中上线。打开桌面的xmoba，连接测Linux端ip，进入后在左边点击回到上一级，或者输入cd//进入上一层，找到tmp文件，在桌面找到恶意文件并解压，解压后的文件直接拖到xmoba左边的文件列表里面，00客户端安装agent，并在管理端上线。关闭控制台的实时防护关闭文件实时监控。为了避免文件实时监控功能清除了样本，影响效果，所以需要关闭。打开[终端管理/策略中心]，配置终端所在分组的实时防护策略，按如下图配置，关闭文件实时监控。解压恶意文件样本，并释放到终端任一目录恶意文件样本见附录章节，解压密码为sangfor，解压释放到终端目录后，将恶意文件上传到00的/tmp/目录下。详情如下： 管理平台下发扫描任务打开[威胁检测/终端病毒查杀]，点击<全盘查杀>或者<快速查杀>，对测试电脑下发快速查杀，如下图。实验效果点击检测详情，发现终端关键目录下的恶意文件，如下图：测试样本被系统判断100%为威胁的文件，平台进行自动隔离处置；其他恶意文件可以在[检测详情/操作]下进行手动隔离处置。12windows恶意文件查杀01客户端安装agent，并在管理端上线。关闭控制台的实时防护关闭文件实时监控。为了避免文件实时监控功能清除了样本，影响效果，所以需要关闭。打开[终端管理/策略中心]，配置终端所在分组的实时防护策略，按如下图配置，关闭文件实时监控。解压病毒样本，并上传至01提前关闭WindowsDefender防病毒软件，恶意文件样本见附件，解压密码为sangfor。解压病毒样本，并释放到终端快速查杀任一目录。如解压释放到终端C盘/windows/system32/drivers快速查杀目录，如下图：管理平台下发扫描任务打开[威胁检测/终端病毒查杀]，点击<全盘查杀>或者<快速查杀>，对测试电脑下发快速查杀，如下图。根据对查杀速度以及终端性能消耗可以