飞连
飞连
- 文档首页
飞连管理员指南终端安全安全策略配置EDR 行为采集策略配置
文档反馈
问问助手终端检测与响应(EDR)的有效性取决于对终端行为数据的持续监测。日志采集策略用于定义飞连客户端采集并上报的行为事件类型(如进程启动、网络连接、文件操作等)。通过配置此策略,管理员可以明确数据采集的范围与深度,为系统的风险识别、安全审计及事件回溯提供必要的数据支撑。
前置条件
- 日志采集策略属于终端检测与响应 (EDR) 模块的专属能力,需确保已购买“终端检测与响应授权”。
- 用户桌面终端已安装 3.3.12 及以上版本的飞连客户端。
功能作用
- 定义数据采集范围:根据安全运营需求,指定终端需上报的行为事件类型,确保系统能够获取关键的安全遥测数据。
- 按需调整监控强度:提供日常与取证两种采集模式,支持在常规监测与应急响应场景之间快速切换,以满足不同阶段的分析需求。
- 支撑威胁检测与防病毒能力:采集的底层行为日志将支撑上层安全业务。一方面用于生成动态的威胁行为告警;另一方面,在采集过程中提取的文件 Hash 会同步与云端情报库比对,一旦命中恶意特征,将直接在“终端防病毒”模块的病毒查杀列表中生成静态文件告警。
执行判断机制
飞连 EDR 采集策略遵循“单策略生效,优先级判定”的原则。系统根据以下机制确保每台终端仅运行一套确定的采集规则:
- 唯一生效模型
策略之间不存在叠加或合并关系。系统根据优先级判定结果,仅下发一条最终生效策略至目标终端,终端的所有采集行为(开关、项、性能限制)均以该策略的内容为准。 - 优先级判定
- 数值优先级:管理员为每条策略分配优先级数值,数值越大,优先级越高。当终端命中多条策略时,系统优先执行数值优先级最高的策略。
- 时间优先逻辑:若多条命中策略的优先级数值相同,系统将执行最近一次修改/添加的策略(按策略更新时间倒序优先生效)。
新增终端采集策略
登录飞连管理后台。
在左侧导航栏选择终端安全 > 策略中心。
在策略中心页面,切换至 EDR 行为采集配置页签。
点击页面右上角的 + 创建策略。
根据业务需求配置参数。
基本信息
配置项
说明
策略名称
自定义名称,用于标识该策略。支持 1-100 个字符。
生效优先级
设置策略执行的先后顺序。数值越大,优先级越高。详见执行判断机制说明。
EDR 终端行为采集
管理员可针对不同的操作系统独立定义采集项。Windows 与 macOS 采集项至少需开启其一。开启后可自定义采集的事件范围。系统默认勾选全部事件,可按需取消勾选事件。其中,进程创建为系统级监控基础,不可取消,通过记录进程启动路径及命令行参数,系统可还原攻击链条并识别恶意脚本执行。
各端支持的事件详情说明如下:Windows
Windows 采集能力支持系统版本为 Windows 7 及以上。事件类型
具体事件
安全监控含义
进程行为
进程创建(必选)、进程退出、进程访问、模块加载、进程注入、远程线程创建
监控程序的完整生命周期及跨进程操作。进程注入与远程线程是识别“无文件攻击”及内存木马的关键指标。
文件行为
文件创建、文件写、文件读取、文件重命名、文件创建时间修改、文件删除、快捷方式创建
监控对硬盘数据的读写操作。可用于发现勒索病毒的大规模加密行为及敏感文件的异常导出。
网络行为
网络访问、DNS 查询
监控终端的内外网通信。用于识别木马回连控制端(C2)、内网横向渗透扫描及异常数据外传行为。
服务行为
服务创建、服务修改
监控系统服务的变更。攻击者常通过创建恶意服务实现权限维持(开机自启)。
计划任务行为
计划任务注册/启动/更新/删除/触发
监控 Windows 任务计划程序。是检测隐藏资产、自动化恶意脚本执行及持久化潜伏的重要维度。
注册表行为
注册表项创建/删除、注册表值修改/删除/查询
监控系统配置数据库的变动。用于拦截通过修改注册表启动项、劫持系统组件等方式进行的攻击。
系统行为
驱动加载
记录内核驱动的安装。防止攻击者通过加载恶意驱动获取系统最高权限。
脚本事件
脚本执行
针对 PowerShell、VBScript 等脚本运行行为进行专项审计。
命名管道
命名管道创建、命名管道连接
监控进程间的通信通道,常用于检测后渗透阶段工具(如 Cobalt Strike)的指令传递。
持久化事件
注册表/可执行文件/计划任务/服务启动项采集
周期性扫描终端的所有自启动位置,确保持续监控已存在的潜在威胁点。
macOS
事件类型
具体事件
安全监控含义
支持操作系统
进程行为
进程创建(必选)、进程退出
监控 macOS 应用程序及终端命令的启动与生命周期。
macOS 11+
文件行为
文件创建、文件读取、文件修改、文件删除、文件重命名、文件扩展属性删除、文件扩展属性设置、文件权限变更
监控文件 IO 操作。其中权限变更与扩展属性修改常用于发现提权攻击或恶意软件属性隐藏。
macOS 11+
网络行为
网络访问、DNS 查询
监控终端的内外网通信。用于识别木马回连控制端(C2)、内网横向渗透扫描及异常数据外传行为。
macOS 11+
账户事件
账户登录、账户远程登录、账户创建、账户密码修改
监控系统身份变动。远程登录(如 SSH)及账户异常创建是识别终端被控的重要信号。
- 账户登录/账户远程登录:macOS 13+
- 账户创建/账户密码修改:macOS 14+
持久化
后台任务添加
监控 macOS 现代服务管理框架下的后台任务注册。防止攻击者通过植入隐蔽的后台任务实现开机自启与长期潜伏。
macOS 13+
安全事件
XProtect 恶意软件检出、XProtect 恶意软件修复、用户覆盖 Gatekeeper
整合 macOS 原生安全框架数据。记录系统拦截的恶意软件及用户手动绕过安全保护的行为。
- XProtect 恶意软件检出/修复:macOS 13+
- 用户覆盖 Gatekeeper:macOS 15+
定时采集
登录启动项、开机启动项、后台任务项
周期性盘点系统启动环境。
- 登录/开机启动项:< macOS 13
- 后台任务项:macOS 13+
终端采集模式
系统提供两种采集模式,用于平衡安全监控的“可见性”与终端硬件的“性能负载”。模式名称
选择建议
逻辑说明
日常模式(推荐)
适用于绝大部分办公场景。
性能优先:在保障终端正常办公性能的前提下,完成必要安全行为的日志上报。该模式下客户端资源占用较低,员工通常无感。
取证模式
仅建议在应急响应或排查异常终端时短期使用。
数据优先:全量采集并上报终端产生的所有行为日志,不进行性能压制。该模式会占用较多终端系统资源,可能导致电脑运行卡顿。
管理员选型建议:
- 常规部署:请务必选择“日常模式”,以避免因采集频率过高而影响员工正常办公。
- 发现异常:如果在某台机器上,出现部分明确 APT 告警,希望尽可能采集更多日志的情况下,可切换到取证模式,采集 1-2 小时数据用于深度回溯。
生效范围
配置项
说明
生效对象
定义该策略应用的范围。支持选择全部或从员工/设备维度进行部分选择。
排除对象
在已选的生效对象中,进一步排除特定员工或设备,使其不受该策略影响。
点击确定完成配置。管理员保存策略配置后,飞连客户端将每 1 分钟向服务端拉取一次最新配置。配置下发至终端并生效通常存在 1 分钟内的同步延迟。
策略管理与运维
在策略中心 > EDR 行为采集配置列表页,管理员可以统一管理全量规则,并根据业务变化实时调整监控范围。
- 运行状态监控:通过页面顶部的仪表盘查看生效设备数及配置同步进度。其中,服务端配置版本为当前 EDR 策略库的全局版本标识,管理员编辑、新增或删除任一策略后,服务端配置版本将自动更新。该版本号是判定策略同步状态的唯一基准。若终端成功拉取到当前最新的服务端版本,则代表该终端命中的所有策略配置均已同步至最新状态。
- 策略检索:支持按生效状态、员工/部门、设备名称及策略 ID 进行组合筛选。
- 日常运维:在策略列表中,管理员可以直观预览各策略的核心参数并执行以下操作:
- 参数预览:快速查看策略的优先级数值、开启的检测项大类(如账户事件、进程事件等)以及具体的生效对象等。
- 状态切换:通过生效状态栏的开关一键开启或关闭特定策略。关闭策略后,受影响的终端将自动重新匹配下一条最高优先级的策略。
- 其他操作:
- 复制:以现有策略为模板快速创建新规则。
- 编辑:修改策略的参数、处置方式或生效范围。
- 删除:永久移除不再需要的策略。删除操作不可撤回,请在确认业务影响后执行。
日志审计
完成策略配置后,飞连客户端将根据策略定义的范围采集终端行为。管理员可前往终端安全 > 日志调查页面对原始日志进行检索、回溯与分析。详细操作指南参看 EDR 日志调查与分析。