中医讲：“秋季养生要养肝”

红队讲：“攻防演练要护端”

每年一次的「攻防演练」已经进行几天了，仅在这几天里，TrustOne就表现出了超迷人的气质，让客户连连夸赞。

(资料图)

究竟发生了什么，让客户对TrustOne这么称赞？据取到的第一手消息：

客户：

中国XXXX保险总公司

事件：

1. EDR 检测到高风险事件，通过安全运营人员分析调查，是由于企业环境内存在终端违规外联一些恶意网址

2. 在攻防演练中，网络端的安全事件线索，可以通过终端 EDR 调查溯源出威胁在本地的攻击路径及进程信息

反馈：

客户对TrustOne的EDR检测效果很认可，后续计划将在全部子公司部署EDR，预计部署规模将达30万+

通过这个案例，我们可以发现一个问题是由于终端用户违规外联，另一个问题是网络侧防护产品虽然检测到了威胁来源，但是不能监测到威胁攻击路径，需要借助终端能力才能还原攻击真相。所以“秋季养生要养肝，攻防演练要护端”，才能做到真防护。

那么，结合攻防演练场景，TrustOne在终端的真防护上，下了哪些真功夫呢？

\ 极简短 · 全流程处置周期 /

TrustOne 的 EDR 模块通过高清的日志记录做为基础，结合威胁情报，IOA 规则关联分析和平台侧的大数据智能算法和可见性设计，全面提供事前预警，事中记录响应，事后追溯审计的完整闭环，将安全事件调查响应从数周缩短至数小时，为业务和数据保护争取宝贵的时间窗口。

事前能够侦测

根据IOA/IOC能够侦测“已知”和“未知”威胁，及早处理避免在重要时间节点集中发作。

产品功能：自定义检测规则、自定义白名单

事中记录响应

从内核层面详细记录：文件操作、进程启停、模块加载、网络连接。并能根据自动化响应规则自动处置响应，提高运营效率。

产品功能：入侵检测事件、失陷检测事件、手动响应、自动化响应

事后可以追溯

调查取证、高级审计，绘制进程事件树真实模拟还原攻击过程。

产品功能：调查溯源、进程事件树、文件流转视图

\ 极省心 · 自动化响应处置 /

对于产生的告警，需要安全运营人员分析确认为真实威胁后，再进行手动处置，对于威胁处置存在较严重的滞后性。此外，处置的手段相对也比较单一。所以对于威胁比较敏感的客户，需要及时的自动响应处置，避免人工调查分析的疏漏和响应时间过长。

亚信安全 TrustOne 针对不同 EDR 告警场景，具备三种自动化响应动作：

【网络封停】

支持配置自动响应的时间段，即生效周期和生效时间，支持设置封停时长。自动封停后的 IP 记录在封停列表，封停时长过后自动解封。

【文件隔离】

支持配置自动响应的时间段，即生效周期和生效时间。自动隔离的文件记录在文件隔离列表，可解除隔离。

【进程阻断】

针对自定义进程规则，支持配置进程阻断的自动化响应动作。

\ 极灵活 · 检测规则调整 /

针对同一入侵场景，入侵的方法不是固定的，攻击原理可能会比较类似，但是攻击手法会有千变万化，原有内置的 IOA 规则无法去应对这些随时变化的攻击场景。可以通过更新检测规则来解决，但是会存在较长的滞后性，无法快速应对高级威胁。通过开放自定义检测规则的接口，运维人员可以非常便捷的配置当前威胁的检测规则及对应的处置动作，提升检测响应的时效性。

目前支持自定义规则的场景包括：

【合法登录规则】

【WebShell】

【可疑操作】

【自定义进程规则】

\ 极迷人 · TrustOne EDR /

随着新一代终端安全 TrustOne颠覆而来，EDR检测响应能力更上一层楼，操作系统、应用软件和账号资产的动态发现更迅速，高级威胁关联分析及检测更准确，助力用户解决更多攻击场景问题。

这么好的产品，攻防演练就该它火！！！