【需求分析】
油气田公司公司随着IT资产的不断增加、在资产管理、终端安全体检、合规检查的控制管理方面存在不足，网络的不断延伸也迫切需要针对病毒的入侵、防护、防火墙隔离等功能进行全面而系统的部署。从而能够在安全事件突发时间进行一键隔离处置，热点事假IOC的全网未协定为，历史行为数据溯源分析，远程协助取证调查分析等。

【解决方案】

终端检测响应平台（EDR）是一套终端安全解决方案，是由轻量级的端点安全软件和管理平台软件共同组成。EDR产品技术原理是基于多维度的智能检测技术、基于无文件攻击的检测技术和基于 Web 后门的综合检测技术。NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应。EDR 产品可与安全云脑协同响应，关联在线数十万台安全设备的云反馈威胁情报数据，以及第三方合作伙伴交换的威胁情报数据。

【方案特点】

（l）终端资产全面管理：
全网终端资产的全面盘点，包含业务服务器的终端和用户PC 的终端。盘点每台终端设备的名称、IP 地址、MAC 地址、所属组织、责任人、资产编号、资产位置等符合“一个中心三重防护”的等保设计理念

（2）终端安全的合规审查：
符合安全合规要求，特别是等级保护的合规要求，对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。

（3）勒索病毒的实时防御
EDR 能够非常精准的识别不同的勒索软件家族，并通过专业分析识别出种种勒索病毒感染行为和加密特征，对最新的勒索软件进行有效的查杀，防止用户感染最新的勒索软件。

（4）入侵攻击的主动检测
EDR 主动检测暴力破解行为，并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为，则主动检测 Web 后门的文件 。针对僵尸网络的攻击， 则根据僵尸网络的活跃行为，快速定位僵尸网络文件，并进行一键查杀。

（5）热点事件的快速响应
通过全球的大数据安全分析，提供热点事件的 IOC 情报推送给EDR。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析，及时发现和响应最新的热点事件。并且根据历史行为数据进行溯源分析，避免组织受到安全事件的通报。