端点检测响应平台EDR销售宝典.docVIP

深信服终端检测响应平台（EDR） 产品导入 网络攻击者无时无刻不在寻找向机构IT环境渗透的途径，其中最容易得手的方式，就是利用终端上的安全漏洞。近年来流行的勒索病毒就是通过这种方式进行大规模传播和破坏，对各单位造成了重大损失。 终端作为信息资产的最后一公里，存在理不清、看不清、找不到的现状。威胁如果横向移动则影响范围会更广泛，内部威胁很难被限制在最小区域内，主机安全已经成为资产的最后一道防线，单位需要采取快速闭环的主机安全方案。 终端检测响应平台（EDR）是深信服公司提供的一套终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的EDR产品也支持与NGAF、AC、SIP产品的联动协同响应，形成新一代的安全防护体系。 销售场景 客户存在等级保护等合规性建设需求，如杀毒、终端合规性检查； 客户有终端安全管理的需求，如终端管理可视化管理，安全防御、检测、响应的持续闭环等； 客户存在勒索软件防御的需求； 客户有防病毒方案需求，如恶意文件检测、暴力破解入侵检测、WebShell检测、僵尸网络检测等； 客户已经部署我司其他安全设备，有整体解决方案或联动响应需求； 客户主要为企业云、政务云等云服务器，有云安全的服务器安全解决方案需求，如微隔离，主机安全防御等。 核心功能 防御、检测、响应并重的安全能力 多维度轻量级的恶意文件检测:包含AI技术的SAVE引擎、基于虚拟执行技术的行为引擎、云查引擎、全网信誉库等，检测更智能、更精准，响应更快速，资源占用更低消耗。 暴力破解入侵检测响应：基于Agent的RDP和SSH登录日志检测，可对入侵源进行IP封堵处理，并主动把入侵源加入IP黑名单，实时响应缓解攻击。 WebShell检测与响应：自动识别web系统目录文件并监控文件变动，基于本地与云端特征库，通过机器学习算法检测引擎、数据流分析引擎，实时判断WebShell文件并自动隔离。 僵尸网络检测与响应：对服务器外联的DNS请求、活动行为进行持续监控，产生网络行为的文件为已知的威胁文件时，则自动进行文件隔离操作 终端资产安全体检 终端资产全面管理：盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等。每一台终端上的资产信息清晰，每一个安全事件责任到人，统一可视化管理，使得安全管理能落实到位。 终端安全的合规审查：依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。 热点事件的快速响应 深信服安全云脑通过全球的大数据安全分析，提供热点事件的IOC情报，推送情报数据给EDR产品。EDR产品能根据IOC情报数据快速的全网威胁定位分析，及时发现和响应最新的热点事件，并且根据历史行为数据进行溯源分析，避免组织受到安全事件的通报。 联动响应的整体安全解决方案 与NGAF、AC、SIP的协同防护，形成信息上报、准入插件、补丁管理、响应处置、取证调查、溯源分析等的完整闭环。 全网威胁定位和溯源分析 基于MD5/SHA256的威胁文件的全网快速搜索定位，秒级响应、快速定位。支持威胁历史行为数据的溯源分析，远程协助取证调查分析。 基于安全域的访问控制加固 一种基于安全域应用角色之间的流量访问控制的系统解决方法，提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离技术实现。 销售话术 1.贵单位安全建设有没有遵循的标准？是否有相关的行业建设规范？ 说明：了解客户受到哪些安全合规性的管制，受到哪些监管机构的要求（政府合规、等保合规）。 2.对于终端的安全，你是否关注？现今受控僵尸主机，勒索病毒等恶意软件非常流行，不知道您单位是否也出现过这类的问题？ 说明：从安全事件入手，了解客户运维痛点，引导我们的save引擎和其他安全能力。 3.不知道贵单位云安全措施和策略有哪些？云服务器如何管理？ 说明：引导云内东西向隔离、终端统一管理和检测响应。 4.贵单位资产的数量是多少？资产有啥风险应对策略，是否有专门的安全事件负责人？ 说明：了解客户资产的现状，是否有理不清、无安全措施和风险应对措施的情况，宣传安全策略的“最后一公里”——主机安全的思想。引导EDR的终端管理和终端安全防御、检测、响应。 5.客户已经购买我司的NGAF、AC