原標題：大型企業如何部署落地（雲）主機EDR+態勢感知平臺

一、前言

大型企業的項目實施往往涉及到大量部門和分、子公司的協調配合，這帶來了雙方面的困難：在技術上，設備和系統分散且不統一，威脅因素和程度難以感知，決策層對於當前的安全態勢難以描述和決策；在工作的推進方面，客戶企業下屬各單位的配合程度直接影響了項目實施的進展和質量，如何做好協調溝通工作、順利推進項目實施，也是對安全行業極大的考驗。

我們將在這篇文章裏，結合我們曾經實施過的一些案例，探討如何爲大型企業部署實施大數據安全態勢感知的項目。希望本文能夠起到“拋磚引玉”的作用，如有更好的見解，望不吝賜教，筆者不勝感激。

二、項目背景1、客戶信息

客戶是大型集團性企業，旗下擁有投資企業300餘家，全資及控股投資企業逾200家，員工超萬人。

2、項目目標

解決集團信息安全在橫向安全體系方面的缺陷，實現全網安全感知、檢測、預警及運維響應，結合安全服務，提升整體的安全運營水平，增強安全的主動防禦能力。

項目總體目標

安全運行能力目標

運維能力目標

三、解決方案和實施1、項目方案

經過分析，我們最終確定了這樣的解決方案：

通過部署嘯天網絡安全態勢感知系統、雲眼主機入侵監測及安全管理系統，其中流量採集探針爲嘯天網絡安全態勢感知系統的功能模塊，以硬件形式部署。

進行全網安全數據採集，利用大數據技術，結合威脅情報，實時發現網絡及信息系統中潛在的安全威脅，呈現全網的安全態勢，輔助集團安全運維人員和專業廠商安全團隊開展威脅分析，提升主動防禦能力。

2、人員保障

爲保障項目順利實施，我們組建了10人以上的項目團隊，人員構成上包括了項目經理、實施工程師、安全研究員、安全服務工程師、研發工程師、測試工程師等崗位。

3、實施過程

總體部署架構如下圖所示：

部署架構邏輯示意圖

根據總體方案，將實施過程分爲三個階段：

第一階段：軟、硬件設備上線

在方案中，包含的軟、硬件設備有：態勢感知平臺、EDR平臺、流量分析設備，經過前期的交流與現場的評估，態勢感知與EDR平臺採用虛擬化服務器集羣部署，具體部署態勢架構如下圖所示：

態勢感知部署架構示意圖

具體部署EDR架構如下圖所示：

EDR部署架構示意圖

經過一週的時間，流量設備上架，EDR平臺部署、態勢感知平臺按照計劃完成部署。

第二階段：數據接入、日誌泛化、調試

數據的接入調試是整個項目實施重點，新增的流量分析設備日誌推送態勢平臺，EDR客戶端部署、事件日誌推送態勢平臺，原有的部分安全設備、安全系統（XX防火牆、XX交換機、等等）日誌推送態勢平臺。

（1） 首月：進展緩慢

流量分析設備：在接入流量後，流量分析設備檢測出集團內網各種異常事件，最嚴重的是近50臺左右服務器和辦公PC中挖礦病毒，內網訪問惡意IP近100臺，其他安全告警幾百條。客戶在看到數據後，爲了梳理整個內網十分嚴峻的安全態勢，與項目小組展開多次論證，不斷調整整改處理方案。

EDR輕代理部署：經過項目小組多次協調測試部署，第一個月的部署量只有十幾臺。通過少量部署，我們總結出內網服務器存在幾個通用問題，主要包括漏洞風險和入侵威脅兩個方面。

漏洞風險：弱口令、危急高危系統漏洞、高危賬號、配置缺陷

入侵威脅：病毒木馬、網頁後門、異常賬號。

安全設備、安全管理系統日誌泛化調優：在相關設備日誌和安全管理系統日誌推送到態勢平臺後，經過兩週對平臺上的事件做微調優化，關聯引擎優化，讓各類安全數據、態勢要素進行綜合分析評判，從多維度和指標化的形式來呈現，幫助管理層輔助決策和執行層運維指導。

（2） 次月：快速推進

項目的推進往往需要關鍵性的事件的推動，第二個月纔開始，態勢平臺就告警了特大病毒安全事件，導致多個關鍵業務系統中斷，所涉及服務器40臺以上。

在發生重大安全事件後，我方項目組緊急啓動應急機制協助客戶處理，調配紅方攻擊團隊、藍方審計團隊、項目組實施團隊安全工程師，通宵制定出業務恢復方案、病毒檢測處理方案、安全加固方案、事件分析方案，當晚恢復最關鍵三個業務系統，並做好安全加固、防護，連續三個晝夜，協助客戶恢復所有波及的業務系統，並梳理出溯源結果，給出初步整改防護方案、後續整改防護方案。

此次突發安全事件使得安全防護無比緊迫，三天的時間核心區域服務器EDR部署到幾百臺，部署簡易策略優化是一個複雜的過程，根據平臺檢測出的問題，經過雙方梳理，接下來的工作分爲整改、監控、防護。

整改：1.高危、危急漏洞通過平臺修復（交付修復方案）；2.大量弱口令限期整改；3.大量高危賬號限期整改；4.配置缺陷限期整改；5.病毒木馬清理；6.基線優化。

監控：1.異常登錄監控；2.完整性監控；3.進程監控；4.操作審計監控；5.暴力破解監控。

防護：1.暴力破解防護；2.掃描防護；3.病毒防護；4.端口最小化防護；5.特殊服務器進程白名單防護。

第三階段：擴大推廣試運行

推廣接入所有網絡設備日誌、所有服務器系統日誌、所有應用網站日誌，推廣所有服務器EDR部署工作，平臺安全數據治理工作。

四、項目成效

通過接入全網流量10G以上，部署EDR節點1000+，安全日誌接入，分析出威脅事件800餘條，處置安全問題資產：服務器200餘臺，PC終端300餘臺，態勢平臺發現大量穿透現有安全體系攻擊威脅，經過項目組專項治理後網絡安全態勢恢復良好狀態，每日失陷服務器降爲0，每日失陷終端PC＜3，整體安全處於可感知、可控制水平。

五、總結

大型企業的項目實施，所涉及非常多部門和分子公司協調，需要客戶決策層強有力的支持。

安全事件是一把雙刃劍，一方面給客戶帶來非常棘手的影響，但另一方面又能爲項目推進帶來質的變化。

態勢感知平臺是一個需要大量數據支撐的系統，而主機EDR能力恰恰能夠爲態勢感知平臺提供大量的關鍵數據。通過對海量的日誌進行關聯分、情境分析、智能分析，能夠對關鍵信息基礎設施的網絡安全信息實時監測，對重大網絡攻擊實時感知，同時進一步探索對攻擊破壞情況準確評估，做好對重點保衛目標的威脅、隱患及時預警和快速處置工作。

*本文作者：安全狗safedog，轉載請註明來自FreeBuf.COM