深信服PT1-EDR实验考试常见技术问题：如何配置终端检测与响应策略？

一、深信服PT1-EDR实验考试概述

在深信服PT1-EDR（终端检测与响应）实验考试中，考生需要掌握如何正确配置EDR策略以实现对终端威胁的实时监控与快速响应。这不仅涉及基础策略的部署，还要求深入理解检测规则、响应动作及联动机制。

1.1 EDR策略的核心目标

• 实时监控终端行为
• 识别潜在恶意活动
• 自动或人工触发响应机制
• 与其他安全设备形成协同防御体系

二、常见技术难点解析

在实际配置过程中，考生常遇到以下问题：

技术难点	具体表现	影响
策略模板选择不当	未根据业务场景匹配模板	策略覆盖率低，误报漏报严重
检测规则定制不精准	规则过于宽泛或严格	误报率高或无法捕获真实攻击行为
响应动作设置不合理	动作未按优先级执行	响应延迟或过度封锁合法行为
设备联动失败	防火墙、SIEM等系统未同步	安全事件闭环处理能力弱

2.1 策略生效失败的可能原因

• 策略未正确绑定终端组
• 策略优先级冲突
• 终端Agent状态异常
• 策略内容语法错误或逻辑不通

三、EDR策略配置流程详解

配置EDR策略应遵循“选模版 → 定制规则 → 设置响应 → 联动测试”的标准流程。

graph TD A[开始] --> B[选择合适策略模板] B --> C{是否满足业务需求?} C -->|是| D[直接部署] C -->|否| E[自定义规则] E --> F[设置响应动作] F --> G{是否需联动其他设备?} G -->|是| H[配置API/日志对接] G -->|否| I[完成部署] H --> I I --> J[策略生效验证]

3.1 策略模板的选择建议

• 针对不同终端类型（如服务器、办公机）选择专用模板
• 参考企业行业特征和攻击面特点
• 结合历史攻击数据进行预判式选择

四、检测规则定制技巧

检测规则是EDR策略的核心部分，决定了威胁能否被及时发现。

4.1 规则设计原则

1. 基于ATT&CK框架构建规则库
2. 关注进程创建、网络连接、注册表修改等关键行为
3. 结合YARA规则、正则表达式提高检测精度
4. 设置阈值控制触发频率，避免误报

# 示例：YARA规则片段
rule Suspicious_Process_Creation {
    meta:
        description = "Detects suspicious process creation"
        author = "Exam_Tester"
    strings:
        $a = "powershell.exe -nop -w hidden -c" nocase
    condition:
        $a
}
  

五、响应动作设置与调试方法

响应动作决定策略的实际效果，必须合理设置并反复调试。

5.1 常见响应动作类型

• 隔离终端
• 阻断网络连接
• 终止可疑进程
• 生成告警并通知管理员

5.2 日志分析方法

通过查看EDR平台中的策略日志、终端Agent日志以及系统审计日志，定位策略失效原因。

tail -f /var/log/sangfor/edr/agent.log
grep "policy not applied" /var/log/messages