1. 版本名称
 

EDR3.6.20

 

2. 版本价值
 

EDR3.6.20主要价值点如下

1、文件实时防护

文件实时防护可以实时监控终端文件读、写、执行，进行文件黑白鉴定，防止终端感染病毒，防止恶意文件影响终端运行。

2、AF联动查杀

开始支持AF与EDR联动下发病毒检测、联动下发病毒处置。

3、新增支持的系统

开始支持ARM架构的Centos7系列系统和X86架构的Euler系统上安装终端EDR。

4、样本云鉴

管理平台新增云鉴服务，提供云端专家+沙箱+多引擎鉴定能力，提供100%必黑或必白结果，让事件处置有依据、可闭环。当管理平台连接互联网时，检测出的威胁文件会自动进行云鉴定、并返回鉴定结果，也可以进行手动云鉴定。

5、代理上网

管理平台还新增了服务器代理设置，可以通过http 或 https 代理服务器联网更新规则库、使用云查等功能，解决了不能直接连接互联网的管理平台的规则库更新问题。

6、自定义路径恢复文件

终端隔离区新增了可以选择自定义路径恢复已隔离文件的功能，提高了易用性。

7、定时磁盘加密

增加定时磁盘加密策略，支持X86和ARM架构下的统信桌面操作系统电脑。

8、其它功能优化

（1）导出日志报表压缩包。

 

3. 新功能介绍

 

3.1. 文件实时防护

此版本新增文件实时防护功能，可以实时监控终端文件读、写、执行，对落地、执行的文件进行黑白鉴定，防止终端感染病毒，防止恶意文件影响终端运行。

1.配置实时防护策略

如下图是在管理平台给终端下发文件实时防护策略配置。

终端也可自行配置文件实时防护策略，但先要在管理平台解开策略锁，否则终端无权限修改，如下图。

2.实时防护效果&处置

当终端实时监控到威胁文件的落点或者执行后，终端会有弹窗告警（30s后自动忽略文件且弹窗消失），也可以直接在弹窗中对威胁文件进行不同的处置，如下图。

如果终端不想受到实时防护弹窗打扰，也可以在终端设置关闭弹窗提醒，如下图。

管理平台也会收到终端上报的实时防护告警记录，且可以对这些文件进行隔离、信任、忽略，如下图。

 

3.2. AF 联动查杀

AF与EDR联动可实现联动下发病毒查杀及处置。需要保障AF到EDR的TCP443端口可以正常通信。

3.2.1. 联动配置

（1）EDR管理平台配置

要启用联动设备准入设置，如下图。

（2）AF配置

AF进行接入设置，建立和EDR管理平台的联动，如下图。

联动成功后，在同一个页面可看到服务状态为“在线”，如下图。

联动成功后，在[EDR管理平台/系统管理/联动管理]页面，可以看到新增一条AF设备联动的记录，如下图。

3.2.2. 联动效果

（1）联动下发病毒查杀

当AF识别到风险终端时，可联动EDR进行查杀。在AF平台的安全运营-->用户安全页面下，可实现针对发现的风险终端联动EDR进行病毒查杀，如下图所示。

等EDR终端查杀结束后，能在同一页面下，对别到的威胁文件进行 隔离、信任等操作，如下图所示。
 

3.3. 样本云鉴

此版本新增样本云鉴功能，提供云端专家+沙箱+多引擎鉴定能力，为用户提供必黑或必白的精准判断结果，让病毒处置有依据。当管理平台连接互联网时，检测出的威胁文件会自动进行云鉴定、并返回鉴定结果，也可以进行手动云鉴定。如下图所示。

云鉴完成后，可以点击“查看”按键，查看云鉴详细结果。
 

3.4. 代理上网

当管理端不能直接连接互联网、且内网有代理服务器时，可以配置通过代理服务器联网更新规则库、使用云查等功能。支持 http 或 https 代理，配置如下图所示。

 

3.5. 自定义路径恢复文件

终端隔离区恢复文件时可以选择自定义路径，如下图所示。

 

3.6. 定时磁盘加密

增加定时磁盘加密策略，支持X86和ARM架构下的统信桌面操作系统电脑。
 

3.7. 其它功能优化

导出日志支持导出Excel表格和压缩包。