Endpoint Detection and Response
评估 诊断 检测
攻防对抗思维
响应 善后
下一代终端安全防护模型
EDR 终端安全响应流程
威胁情报 4
终端 终端 终端
1
行为数据 静态样本
2
数据采集平台
数据采集平台 可分布式
3
系统、软件
硬件资产
大数据分 析平台
5
告警中心 控制中心
任务： 威胁处置 完善风险
通过威胁情报， 360 威胁情报中心帮助国内政府机构、 金融和大型企业， 累计发现来自境内外3 6 个APT 组 织发动的攻击， 近期仍处于活跃状态的至少有 1 3 个。
国内首个威胁情报分析平台， 汇聚O SIN T、 IO C、 样本、 p D N S、 w h o is 以及攻击者数据库等多种情报数据， 提供基于可视化的自 动关联分析能力， 帮助安全分析师进行事件判别、 定性、 溯源。
6
EDR 标准响应业务流程
通过标准的响应业务流程，使得分析与处置过程有据可循。流程分为5个阶段。

威胁知识 上级通告 安全播报 告警核实 反馈核实

移动存储 黑邮箱 浏览器 下载工具 IM通讯 远端通讯 地址
覆盖存储 覆盖终端 覆盖企业 邮箱


私有云引擎盒子/文件安全鉴定中心系统

黑白名单6~10亿*+ 多引擎对本地未知样本进行定期轮询鉴定 依靠离线升级工具进行样本、引擎更新
*依据产品型号样本数量不同
补丁管理
全面扫描操作系统、应用软件漏洞
Internet
360 补丁服务器
统一分发补丁文件（按需分发） 强制执行漏洞修复（统一修复） 蓝屏修复机制（360首创技术） 补丁分发流量控制（P2P机制） • • 分发带宽流量压缩 分发带宽流量限制
802.1X 认证流程及场景
服务器区
Radius认证
主服务器
核心层
备服务器
天擎一体化管理平台
汇聚层
AD域
接入层802.1X
接入层802.1X
1.支持AD、LDAP完美集 成联动认证 2.端口级的入网控制 3.支持有线、无线环境认 证 4.HUB环境下的认证 5. 多条件绑定认证 6、账号、主机、MAC认 证 7.双机设备HA机制 8.一键逃生机制
护企业内部的数据不外泄。
文件操作审计
•指定类型文件访问、修改、 删除、移动等行为进行审计 计
文件输出审计
•对共享文件夹输出进行审 计
文ห้องสมุดไป่ตู้保护审计
•指定类型文件进行保护审
文件打印审计
•指定类型文件打印行为进 行审计
移动存储审计
•对移动存储设备的读、写、 执行的操作行为进行审计
强制合规（ NAC 准入控制）
Hub 有线环境 HUB环境 无线环境（AC上建立SSID配置802.1X认证或PORTAL方式）
综合评估
产品优势
制度建设：评估体系健全，可协助企业建设评估标准。 无打扰：不限制终端用户，评估过程不降低企业生产力。 存在感：评估结果可与企业管理制度挂钩。
天擎综合评估引擎

健康状况评估

KB4012212
KB958644
原则：高危漏洞必须打、 功能补丁 选择打、不安全补丁不打；
安全运维管控
外设管理 违规外联 应用程序安全
网络安全
远程控制 桌面安全加固
资产管理

展示终端硬件信息 主板，CPU，内存，硬盘，设备SN 监控终端硬件状态
–


CPU温度，硬盘温度，主板温度 实时监视硬件配置变更
终端准入
移动存储管理
资产管理
•
PART / 03
功能价值
产品介绍
管家式服务 数据一体化 NGSOC、威胁情报 智慧防火墙联动 上网行为管理联动 功能一体化 防病毒、管控、准入 移动存储介质管理 补丁管理、XP防护、 EDR …… 平台一体化 Windows&Server SUSE、Redhat 中标麒麟、银河麒麟、 Deepin 驻场运维 巡检服务 病毒分析服务 应急响应服务
目前共申请专利9884 件 其中国内专利9012 件 海外专利申请872 件
全球领先的安全大数据能力
业界最强的威胁情报能力
多维度、具备独特性优势的安全数据，东半球最强大的安全分析师团队，深厚的大数据及可视化分析技术基础 ，共同打造出领先的威胁情报，帮助用户完善安全系统，及时有效的发现、分析最重要的威胁事件。
360 安全产品体系
360 安全服务体系
数据驱动的创新安全服务体系
全行业服务客户
自进军企业市场以来，360企业安全为百万家企业级客户提供了专业安全产品和服务，其中包括
中央部委、地方政府组织、大中型企业甚至众多世界500强企业等，并受到了客户的一致好评。
政府
大型 企业
金融
运营商
民生 教育
24
PART / 02
Usage Mgt. approach
Data
Data
Intranet Online
Offline
Internet Online
移动存储介质管理
移动存储介质全流程管理
注册 管理 授权 管理 状态 管理 审计 管理
注 册
密码 状态
按在网、离网、密码授权等方式实现移动介质的注册 使用限制 可实现可读、写及例外的授权管理 按介质使用状态设置不同的策略，如介质挂失
终端防护体系需要：
1、完整的企业内网终端数据采集系统 2、快速定位终端风险级别的评估手段 3、灵活处置终端安全问题的响应措施
数据
工具
终端安全防护对 EDR 的渴求
终端安全检测与响应系统
产品定位：洞察未知威胁的安全对抗类产品。
对传统EPP终端安全解决方案的补充 面对未知威胁的全生命周期管理处置 重构终端安全事件响应模型

时间维度
展示时间按周、月、季度、年份、时间段等

用户分组
展示终端按分组、全网等多维度展现
PART / 04
优势特点
产品优势
结合天堤、天眼 云+端+边界 精确检测深度阻断
立体布控 纵深防御
动静结合 动静结合 全程查杀 全程查杀

复合多种引擎 主动防御技术 黑白名单 沙箱技术
全面监控 量化风险 病毒趋势 漏洞趋势 风险等级
360天擎产品介绍
XXX公司 XXX
CONTENTS / 目录
PART / 01
PART / 02
PART / 03
PART / 04
PART / 05
PART / 06
集团介绍
场景问题
功能价值
优势特点
形态部署
成功案例
PART / 01
集团介绍
360 企业安全集团
360 企业安全集团是专注于为政府和企 业提供新一代网络安全产品和服务的综 合型集团公司。集团以“保护大数据时 代的安全”为企业使命，以“数据驱动 安全”为技术思想，创新建立了新一代 协同防御体系，全面涵盖大数据安全分 析、边界安全、终端安全、网站安全、 移动安全、云安全、无线安全、数据安 全、代码安全等全领域安全产品及解决 方案，已经为包括中央部委和大型央企 在内的超百万家企业级客户提供了全面 有效的安全保护，并赢得了客户的一致 好评。
– –
内存、显卡、网卡、硬盘、显示器

硬件多次变更过程回溯 操作系统、软件、插件信息统计 网络信息管理
–
实时监控
网络设置、连接、流量、ARP防欺骗……
终端软件资产管理
云端软件商店
软件上
传 分发统 软件分
海量安全软件同步 本地软件安全鉴定
数据同步
管理员
任务下发
计
软件生命 周期管理
版本回
滚
类
软件下载、 安装、升级
场景问题
终端问题日益严重
木马病毒 未知威胁 系统漏洞
超过85%的安全威胁来自 企业内部
• 病毒木马问题严重 被动防御无法应对未知威胁
——FBI & CSI
非法外联
应用软件滥用 •
•
•
内网与终端
系统漏洞修复不及时
随意私装软件 移动存储传播病毒
•
•
•
资产变动管理不到位
终端随意接入网络 非法外联泄露重要信息 ……
沦陷迹象评估
管控合规评估

配置脆弱评估

数据价值评估
病毒查杀，漏洞扫 使用痕迹，入侵 描，主防，系统故 痕迹，IOC。 障检查等等。
违规外联，违规外 设使用，违规访问 行为，违规配置行 为等等。
身份鉴别、安全设 计、访问控制、资 源控制和入侵防范 的配置安全。
数据内容检查，数 据类型检查。
EDR —传统安全面对未知威胁的困境
全方位保护政企级网络安全
360 企业安全利用大数据分 析等“互联网+”创新手段 ，助力国内政企客户更好地 应对安全威胁，全面提升中 国政企安全防护能力与水平 ，全方位保护个人、企业、 国家网络安全，为经济发展 打造可靠的网络环境，与全 社会一起构建互联网安全命 运共同体。
世界级的技术研究能力
2016 年10 月，美国断网事件发生后，360 网络安全研究院是唯一受邀参与协同处置的中国机构；360 天眼实验 室国内首次发现并披露来自境外的国家级黑客组织海莲花对中国的APT 攻击，目前已经累计发现36 个APT 组织。
范围可配 进程结束 样本隔离 隔离还原 样本查杀
样本加黑 黑邮箱拦 截 威胁通讯 管控 防火墙通 讯拦截