1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 电子工程/通信技术
  5. 考试/面试试题

2024深信服PT1-EDR认证恶意样本实验.docVIP

2024深信服PT1-EDR认证恶意样本实验.doc

    1. 1、本文档共9页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    一、实验背景

    近年来病毒数量呈指数级增长,恶意文件层出不穷,给企业级用户造成了很大的安全威胁。针对这类恶意文件、恶意病毒,通过文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等引擎的层层过滤,EDR可以实现快速检测和拦截。

    二、实验目标

    本实验主要掌握以下具体实验场景操作:

    掌握在linux和windows场景下处置恶意文件的处置步骤

    三、实验环境

    准备1台物理机服务器或提供虚拟化环境安装EDR管理平台。

    准备1台linux客户端、1台windowsPC客户端分别安装EDR的Agent。

    Agent客户端到EDR管理平台ICMP、TCP4430、TCP8083、TCP54120连通性正常。

    管理平台需要能联网,确保到以下服务器连通:

    (云脑)漏洞补丁相关:

    (云脑)接入云脑授权:

    (云脑)云查服务器:

    (云脑)云安全计划:

    (CDN)漏洞补丁、规则、病毒库地址:?

    IP地址及端口规划:

    设备名称

    端口类型

    端口描述

    IP地址

    备注

    总部EDR

    管理

    eth0

    0

    admin/Sxf@2022

    业务

    /

    /

    ?

    总部Linux

    管理

    /

    00

    root/Sxf@2022

    业务

    /

    /

    ?

    总部WindowsPC

    管理

    /

    01

    user/Win#@desk

    业务

    /

    /

    ?

    ?注意事项

    该实验会对客户端系统造成损坏,实验前必须对linux客户端、windows客户端打上快照,便于后续恢复系统状态。

    恶意样本在解压到过程中会被WindowsDefender防病毒软件查杀,建议解压文件前提前关闭WindowsDefender防病毒软件。

    实验前关闭文件实时监控。为了避免文件实时监控功能清除了样本,影响效果,所以需要关闭。

    恶意样本不要在自身的电脑上运行。

    在安装agent的时候,若出现已经安装的现场入下

    需要回到管理平台上将linux上的agent卸载后就可以重新安装

    3.1Linux恶意文件场景

    3.1.1实验步骤

    .200客户端安装agent,并在管理端上线。(实验环境这个步骤已经安装完毕,需要进行再次安装需要卸载原来的区域的agent,可以查看注意事项有详细步骤)

    2.关闭控制台的实时防护

    关闭文件实时监控。为了避免文件实时监控功能清除了样本,影响效果,所以需要关闭。打开[终端管理/策略中心],配置终端所在分组的实时防护策略,按如下图配置,关闭文件实时监控。

    3.?解压恶意文件样本,并释放到终端任一目录

    恶意文件样本见附录章节,解压密码为sangfor,解压释放到终端目录后,将恶意文件上传到00的/tmp/目录下。详情文件如下:

    4.管理平台下发扫描任务

    打开[威胁检测/终端病毒查杀],点击全盘查杀或者快速查杀,

    对测试电脑下发快速查杀,如下图。

    ?

    快速查杀指对系统关键目录进行查杀,包括

    (/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、

    /usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev)

    关键目录

    3.1.2实验效果

    点击检测详情,发现终端关键目录下的恶意文件,如下图:

    测试样本被系统判断100%为威胁的文件,平台进行自动隔离处置;其他恶意文件可以在[检测详情/操作]下进行手动隔离处置。

    3.2Windows恶意文件场景

    3.2.1实验步骤

    .201客户端安装agent,并在管理端上线。

    2.关闭控制台的实时防护

    关闭文件实时监控。为了避免文件实时监控功能清除了样本,影响效果,所以需要关闭。打开[终端管理/策略中心],配置终端所在分组的实时防护策略,按如下图配置,关闭文件实时监控。

    3.解压病毒样本,并上传至01

    提前关闭WindowsDefender防病毒软件,恶意文件样本见附件,解压密码为sangfor。解压病毒样本,并释放到终端快速查杀任一目录。

    如解压释放到终端C盘/windows/system32/drivers快速查杀目录,如下图:

    ?

    4.管理平台下发扫描任务

    打开[威胁检测/终端病毒查杀],点击全盘查杀或者快速查杀,对测试电脑下发快速查杀,如下图。根据对查杀速度以及终端性能消耗可以选择极速、均衡、低耗不同扫描模式,默认为均衡模式。为了快速看到效果,此测试用例,我们选择『极速』查杀。

    ?

    :快速查杀指对系统关键目录进行查杀,Windows?快速查杀目录包括/windows和/windows/system32本级目录,/windows/system32/drivers目录和其子目录。

    3.2.2实验效果

    点击检测详情,发现终端关键目录下的恶意文件,如下图:

    测试样本被系统判断100%为威胁的文件,平台进行自动隔离处置;其他恶意文件可

    您可能关注的文档

    最近下载

    文档评论(0)

    178****0577 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >