EDR Q4 友商替换场景

admin管理员组

文章数量:1532357

2024年1月20日发(作者：)

EDR 产品友商替换场景

一、 友商替换场景

Q4 冲刺阶段，EDR 产品

1. 到期替换场景

场景描述：用户已经使用卡巴、瑞星、360等终端杀毒软件，已经到期需要续费或替换的；

如何替换：

a) 热点事件推动

可以结合当前热点勒索事件，通过强化EDR 在热点勒索事件中的事前检测能力，事中防御能力，强调使用效果。

b) 运维视角推动

强调EDR 在部署和运维过程中的便利性，特别是一个平台可以管理windows PC、windows Server、Linux一个平台统一管理。

c) 深信服自有设备联动推动

如果已有深信服设备，可以通过联动响应来推动，同时推动AF版本升级（如果AF版本到期，可以推动AF软件升级续费），通过边界+终端的联动效果，推动替换。

2. 品牌替换场景

场景描述：用户对现有终端产品效果不满意（如杀毒情况下的扫描速度、售后服务、勒索病毒防护效果差）需要替换的场景

如何替换：

a) 测试推动

可以引导用户测试部分EDR终端，强调EDR整个部署过程简单、快速，通过推动测试，让用户体验到我司整体服务质量和EDR 产品效果，进而推动替换。

b) 服务推动

本土厂商，本地化服务+7*24小时的原厂响应，同时强大的威胁情报能力，让用户认可我司整体服务能力，进而推动替换。

c) 热点事件推动

可以结合当前热点勒索事件，通过强化EDR 在热点勒索事件中的事前检测能力，事中防御能力，强调使用效果。

二、 友商产品替换话术

替换场景话术，主要围绕着我司EDR 产品优势，通过产品优势穿插在不同场景进行使用。优势总结：

1. 智能检测，提升安全能力

以人工智能SAVE引擎为核心，辅以全网信誉库、云查引擎、行为分析等技术，使EDR达到高检出率效果并有效洞悉威胁本质。系统安全合规审查、威胁攻击检测、多维度处置快速响应，有效解决现有信息系统安全问题，构建百分百多维度威胁防御体系，提升机构安全防护能力。

2. 高效易用，提升用户体验

友好的WEB管理界面，提供终端分组管理、策略批量下发、资源占用控制、一键隔离、一键信任、一键忽略以及全面可视化的终端安全状态、威胁、热点、行为等多重信息，在赋予机构快速掌握威胁热点事件并准确定位能力同时，使系统

的应用、管理及配置更为直观高效。另外，EDR采用轻量化设计，能确保资源占用更低、检测及响应动作更快速，轻量、高效、易用等特性，有效提升用户体验。

3. 全面管理，统一运维

提供资产信息化管理功能，帮助运维人员快速梳理盘点机构资产，将责任落实到人，系统丰富的多视角日志报表以及多维度的日志查询功能，使管理工作更为高效。另外，系统提供诸如蓝屏重启恢复、在线升级、离线升级、灰度升级、域推送安装、AC联动安装等措施，简化繁琐操作、快速交付使用，全面提升工作效率并降低企业维护成本。

三、 Q&A

1. 能否用两句话概括我们和360、趋势最大区别？趋势做的我们都能做吗？能替换趋势吗？360做的我们都能做吗？能替换360吗？

答：与360及趋势对比来说，防病毒能力并没有较大区别，但EDR在未知威胁检测（勒索病毒）、威胁攻击检测防御（暴力破解、webshell、僵尸网络）等功能方面是具备差异化优势的，另外360的天擎6产品加入了终端管控方面功能，此部分功能，是EDR今后规划内容之一，现有版本暂未具备。相较于趋势防病毒产品，EDR可满足替换需求。

2. 我们和传统桌面管理，反病毒软件关系是什么？是替代还是补充？

答：EDR产品目标就是打败传统的杀毒软件，做领先的下一代终端安全系统，我们用的技术也是主流的新技术，AI，行为，内存的检测，实现无特征的检测技术，应对现在病毒变种众多的现象、传统病毒特征库太大的问题。

3. AI引擎、和安全云脑的联动是不是必须支持通过互联网去联动。如果客户是

内网部署，这些联动能力（尤其是AI能力怎么提供）？

答：AI技术实现是SAVE引擎，不需要联网的，我们会定期更新模型，内网场景可以用离线特征库形式导入的。云脑的云查能力，在线的可以直接联云查询，内网的有计划做私有云的云脑部署方案。

4. 目前EDR最大终端案例是，规模是多少台？

答：EDR最大客户端的案例是CNCERT和山东联通，10000点的。

5. 服务器杀毒性能影响会不会很大？

答：目前支持三种杀毒性能模式；极速模式，不限制扫描软件自身的CPU占用率，以追求最快的扫描速度；均衡模式，扫描速度和CPU占用率达到一定的平衡，限制CPU占用率低于30%；低耗模式，扫描时尽量少占用CPU资源，限制CPU占用率低于10%。

在杀毒引擎上，我们会支持各个引擎的自由组合，根据不同的客户诉求和服务器性能要求，选择不同的引擎组合。另外，save引擎本身也是轻量低耗的引擎。

6. 行为检测和save引擎有什么区别？

答：行为检测引擎：独特的“虚拟沙盒”技术，基于虚拟执行和操作系统环境仿真技术，可以深度解析各类恶意代码的本质特征，有效地解决加密和混淆等代码级恶意对抗；根据虚拟沙盒捕获到的虚拟执行行为，对病毒运行的恶意行为链进行检测，能检测到更多的恶意代码本质的行为内容。

SAVE引擎：基于机器学习的方法对样本特征进行聚类，使用NLP等算法，对样本中的现有特征进行分析，然后鉴别出相应的勒索病毒样本；基于深度学习的算法，对已知勒索病毒进行自主学习，收集病毒样本里的各类信息和基于不同的维度对样本进行分析，从而检测出一些未知的勒索病毒样本

本文标签： 检测管理病毒推动能力