01-天珣终端高级威胁检测与响应系统(EDR2.0-SP2)_用户手册.docxVIP

天珣终端高级威胁检测与响应系统【EDR】 天珣终端高级威胁检测与响应系统【EDR】 用户手册 北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co., Ltd. 2022年11月 声明 本手册所含内容若有任何改动，恕不另行通知。 在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。 本手册含受版权保护的信息，未经北京启明星辰信息安全技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 本手册适用于天珣终端高级威胁检测与响应系统产品，在手册中简称为EDR。文件少部分内容视产品具体型号略有不同，请以购买的实际产品为准。 北京启明星辰信息安全技术有限公司 中国北京海淀区东北旺西路8号中关村软件园21号 天珣终端高级威胁检测与响应系统【EDR】 PAGE 64 目 录 TOC \o 1-4 \h \z \u 1 前 言 7 2 角色及术语 7 2.1 角色 8 2.2 术语 8 3 WEB控制台 8 3.1 授权导入及登录 8 3.2 图标使用说明 10 4 创建管理员 11 5 系统 13 5.1 白名单 13 5.1.1 进程白名单 13 5.1.2 网络白名单 14 5.1.3 外设白名单 15 5.1.4 webshell白名单 16 5.1.5 杀毒白名单 16 5.1.6 威胁情报白名单 17 5.2 用户管理 18 5.3 组织管理 19 5.4 角色管理 19 5.5 授权管理 20 5.6 升级管理 21 5.6.1 系统升级 22 5.6.2 客户端升级 22 5.6.3 病毒库升级 23 5.6.4 情报库升级 24 5.6.5 主机漏洞规则库 25 5.6.6 补丁升级 25 5.6.7 弱密码管理 26 5.6.8 数据清洗规则 28 5.6.9 webshell规则库 28 5.6.10 业务应用组件规则库 29 5.7 全局参数 29 5.7.1 基本配置 30 5.7.2 数据维护 31 5.7.3 告警配置 34 5.7.4 日志外发 35 5.7.5 联动配置 35 5.7.6 客户端连接配置 37 5.7.7 客户端注册配置 38 5.7.8 网络服务 38 5.8 关于 40 5.9 工具下载 40 5.10 API用户管理 41 6 首页 41 6.1 首页 42 6.2 EDR终端威胁态势大屏 43 6.3 EDR终端资产态势大屏 45 7 资产 47 7.1 应用概览 47 7.2 资产概览 49 7.2.1 资产统计 49 7.2.2 资产运行状态统计 50 7.3 资产清单 50 8 采集 53 8.1 采集策略 53 9 检测 56 9.1 敏感信息 56 9.2 基线核查 59 9.2.1 自定义基线 59 基线检查配置 61 环境基线 62 软件基线 64 配置基线 65 9.2.2 基线模板 66 9.3 漏洞扫描 68 9.3.1 策略配置 68 9.3.2 漏洞统计 70 资产视角 71 应用视角 72 主机漏洞视角 72 9.4 病毒查杀 73 9.5 异常行为 76 9.5.1 账户异常 77 9.5.2 口令爆破 78 9.5.3 非法外联 78 9.5.4 端口扫描 79 9.5.5 文件防篡改 79 9.6 运行状态 80 9.6.1 客户端离线告警 83 9.6.2 资产异常状态 83 9.6.3 EDR资源占用 83 9.7 高级威胁 84 9.7.1 恶意行为 84 挖矿检测 86 反弹shell检测（仅Linux） 87 勒索检测（仅Windows） 87 webshell检测 88