用户背景

该物流客户系中国最大的顶级物流集团之一，现在每天处理的业务邮件高达数千万票。分布全球各地的业务站点尤其在中国大陆的数百个智能物流仓储和各大办公场地的背后存在超过10万级别的终端来保证业务的正常运转。

用户面临的安全挑战

l   现有的安全解决方案无法解决日益严峻的APT高级攻击威胁

l   无法统一托管遍布全球各地业务站点的终端资产

l   未具备有效的安全工具对内网可能潜伏的勒索以及未知病毒进行全网威胁定位，分析，追踪以及修复

零日科技主导实施的McAfee EDR解决方案

l   项目前期提供专业的安全评估调研并提供有针对性和可靠的实施方案

l   项目实施有序高效，在保障业务流畅的同时帮助Xx客户构筑更全面的终端安全围墙

l   项目产品交付后持续协助用户优化产品检测策略和定期巡检，得到了客户的高度认同与赞赏

主要收益- 该物流客户信息安全负责人Jack这么说

l   单一的安全管理平台简单易用，提高了运维效率

l   ENS依托强大的企业信誉库帮助我们可以非常快速安全的过滤掉流行性的攻击，技术可靠

l   强大的高级威胁检测能力解决了以往安全解决方案无法清除的顽固病毒

l   Active Response帮助我们节省了安全事件响应的时间…特别是快速的搜索，收集威胁的信息，和及时的响应

l   潜在威胁的图形化界面提供了网络、以及终端文件，注册表等系统文件实时可视化的状态，发现异常的事件，检测威胁的特征，并可一键对被感染的系统响应。

l   给我们提供了对未知风险及安全事件的响应能力

客户的部署架构图：

关于McAfee EDR解决方案

McAfee EDR在本项目中应用功能主要有: Endpoint Security Prevention, Adaptive Threat Prevention(DAC动态应用遏制、Real Protect), Active Response，其中具有特色的功能包括：

l   基于进程的行为分析

DAC动态应用程序遏制功能使用轻量级，无签名的行为分析来检测和遏制恶意应用程序，从而有效对抗零日威胁，勒索软件和高级威胁。 它监视灰色软件的行为，在它损害系统或访问用户数据之前，通过限制其动作来阻止恶意行为。

l   机器学习

Real Protect结合了执行前静态分析和执行后行为分析，根据与已知恶意属性和行为的相似性来阻止恶意软件。它使用最先进的机器学习技术来识别恶意代码，基于它的静态特征（执行前分析）的深入评估和它实际上做什么（动态行为分析） - 所有没有签名。同时自动演进行为分类以识别行为并添加规则以识别未来的攻击。

l   Active Response

MAR可从受管理的终端收集系统各个组件的实时数据，而收集的组件运行在受管理的终端上，称为collectors。执行搜索的表达式，向终端收集指定的信息，并存储在终端本地或将程序运动路径日志回传给MAR服务器用于内部威胁的定位，调查分析并响应修复。

l   强大的统一管理

单一控制台，单个EPO可托管最高至40万个客户端且支持二级代理托管在DMZ的客户端。