套餐介绍
商用套餐购买说明
终端防护与响应服务商用套餐目前仅支持线下购买方式,提供PC标准版、PC专业版、Windows Server服务器版等套餐规格。用户在配置器SCT上购买时通过选择产品数量来确定套餐实际规格(如:购买10份套餐,实际规格对应为10资产/1年),单用户购买的产品数量上限为3000(实际规格对应为3000资产/1年)。
套餐名称 |
操作系统支持 |
套餐规格 |
---|---|---|
PC标准版 |
|
|
PC专业版 |
||
Windows Server服务器版 |
|
终端防护与响应服务同时提供非商用个人版终端安全软件,个人版EDR Agent不支持云端交互。用户可登录华为乾坤商城,选择 进行下载试用。
软件名称 |
操作系统支持 |
规格 |
---|---|---|
华为乾坤EDR(个人版) |
|
最多支持部署2000台终端。 |
个人版EDR Agnt与商用套餐存在部分差异,详情请参见表3。
功能分类 |
一级功能 |
二级功能 |
功能描述 |
PC标准版 |
PC专业版 |
PC个人版 |
Windows Server版 |
---|---|---|---|---|---|---|---|
终端管理 |
资产管理 |
识别终端资产 |
支持收集主机列表、进程、端口、组件等终端资产信息,并对终端资产进行集中管理。 |
√ |
√ |
× |
√ |
关联历史IP |
支持查询终端的历史IP和历史IP的关联终端。 |
√ |
√ |
× |
√ |
||
终端安全可视化管理 |
管理终端威胁事件 |
支持按终端维度统计威胁事件,查看威胁事件趋势风险和批量一键处置。 |
√ |
√ |
× |
√ |
|
管理终端隔离区 |
在线管理终端隔离文件,支持人工以远程的方式恢复或清理隔离文件。 |
√ |
√ |
× |
√ |
||
管理终端进程 |
实时查看在线终端运行中的进程信息,支持联动威胁信誉引擎,在线查看各进程威胁信息。 |
√ |
√ |
× |
√ |
||
终端安全通知 |
提供安全月报 |
按月为用户提供安全服务报告,并以邮件形式发送至用户订阅邮箱。通过安全服务报告,客户可清晰了解安全服务概况、终端风险影响评估、终端威胁事件分类和统计、终端威胁事件数量及趋势和安全风险加固建议。 |
√ |
√ |
× |
√ |
|
提供紧急安全通知 |
检测到高危害威胁事件后,立即通过短信方式及时通知预警。 |
√ |
√ |
× |
√ |
||
威胁检测 |
病毒检测 |
在线查杀 |
使用华为第三代智能检测引擎,拥有亿级海量病毒的检测能力,支持勒索、挖矿、僵尸、木马、蠕虫、间谍、黑客工具、恶意广告等各类病毒家族的检测。支持管理员远程指定在线终端执行病毒扫描,支持快速查杀、全盘查杀和自定义查杀。 |
√ |
√ |
√ |
√ |
实时防御 |
支持文件共享、文件下载、软件安装等场景下的病毒实时检测。 |
√ |
√ |
√ |
√ |
||
周期查杀 |
支持定时执行病毒扫描任务。 |
√ |
√ |
√ |
√ |
||
云查杀 |
云端集成威胁信息后,基于亿级病毒文件特征库引擎能力,实时更新特征库,即时进行病毒查杀。 |
√ |
√ |
√ |
√ |
||
挖矿木马检测 |
检测挖矿木马特征 |
基于DNS过滤日志和恶意域名库,根据终端主机是否请求矿池域名识别挖矿木马。 |
√ |
√ |
√ |
√ |
|
检测挖矿木马行为 |
拥有未知挖矿变种检测能力,基于挖矿运行时上下文的攻击行为识别挖矿木马。 |
× |
√ |
√ |
√ |
||
窃密木马检测 |
窃密木马检测 |
基于隐私文件访问行为识别窃密意图,结合静态文件特征、威胁信息综合检测。 |
× |
√ |
√ |
√ |
|
异常登录检测 |
检测异常登录 |
基于用户配置的登录策略,检测规则外的异常登录事件。 |
√ |
√ |
× |
√ |
|
暴力破解检测 |
检测暴力破解 |
支持基于日志的暴力破解检测,支持常规暴力破解和慢速分布式暴力破解检测,支持内网横移暴力破解检测,支持暴力破解攻击成功判定。 |
√ |
√ |
× |
√ |
|
横移检测 |
横移检测 |
基于进程、注册表、计划任务等恶意行为多维度检测,依靠泛化行为规则提高未知威胁检测能力。 |
× |
√ |
× |
√ |
|
勒索软件检测 |
检测勒索软件特征 |
基于DNS过滤日志和恶意域名库,检测终端主机是否请求勒索域名。 |
√ |
√ |
√ |
√ |
|
检测勒索软件行为 |
基于四层检测和响应框架,支持精准检出活跃勒索样本及其变种样本。 |
× |
√ |
√ |
√ |
||
无文件攻击检测 |
检测非可执行文件攻击 |
支持检测非可执行的间接类文件攻击,包括基于文件、基于Office宏、基于powershell/vbs/bat等脚本、利用良性攻击等无文件攻击方式。 |
× |
√ |
√ |
√ |
|
检测内存型无文件攻击 |
通过识别漏洞利用、进程注入等恶意行为,检测无需在磁盘上写入文件、仅驻留在内存中的恶意软件。 |
× |
√ |
√ |
√ |
||
威胁响应和处置 |
威胁事件一键处置 |
隔离病毒文件 |
检测恶意文件并进行隔离,阻止终端加载运行恶意文件。 |
√ |
√ |
× |
√ |
终止恶意进程 |
检测恶意进程并立即终止,阻止进程恶意行为。 |
√ |
√ |
× |
√ |
||
清理计划任务 |
检测恶意持久化计划任务,支持自动或人工清理。 |
√ |
√ |
× |
√ |
||
宏病毒恢复 |
支持办公文档检出宏病毒威胁的场景,清除文件感染的宏病毒,办公文件恢复正常使用。 |
√ |
√ |
× |
√ |
||
查杀病毒 |
支持一键快速查杀、全盘查杀功能,检测在线终端的文件系统是否存在潜在病毒文件风险,检出的高风险病毒将自动隔离。 |
√ |
√ |
× |
√ |
||
多服务联动处置 |
封禁攻击源 |
与边界防护与响应服务联动,支持联动黑名单功能,快速阻断威胁攻击源。 |
√ |
√ |
× |
√ |
|
清理恶意文件 |
支持边界防护与响应服务与终端防护与响应服务联动,检测到主机下载恶意文件行为时,溯源查找恶意文件下载位置,进行一键清理。 |
√ |
√ |
× |
√ |
||
终止恶意外联 |
支持边界防护与响应服务与终端防护与响应服务联动,检测到主机发送恶意外联行为,如挖矿域名请求、远控木马外联等时,溯源查找恶意外联进程,支持一键终止恶意进程。 |
√ |
√ |
× |
√ |
||
威胁事件自动处置 |
自动处置挖矿事件 |
支持挖矿木马事件自动处置,基于智能化模型,溯源事件攻击路径,自动匹配处置方案,下发处置动作。 |
√ |
√ |
√ |
√ |
|
自动处置勒索事件 |
支持恶意域名访问、恶意软件类的勒索事件自动处置,基于智能化模型,溯源事件攻击路径,自动匹配处置方案,下发处置动作。 |
√ |
√ |
√ |
√ |
||
威胁事件溯源 |
主动溯源挖矿事件 |
基于DNS检测挖矿进程,主动溯源挖矿进程相关联的攻击,支持一键处置攻击链上多个异常进程和文件。 |
√ |
√ |
× |
√ |
|
主动溯源勒索事件 |
检测到勒索软件入侵时,支持进程调用链,文件创建和篡改关系,网络、注册表、服务等元素主动溯源,支撑风险全面加固,威胁事件深度清理。 |
× |
√ |
× |
√ |
||
主动防御 |
黑白名单 |
进程黑名单 |
支持客户按进程特征(SHA256)、进程名称自定义创建进程黑名单列表,拦截不希望在终端上运行的进程。 |
√ |
√ |
× |
√ |
文件白名单 |
支持客户按文件目录、文件完整路径、文件特征(SHA256)自定义创建文件白名单列表。针对白名单列表中的文件,终端防护与响应服务将忽略其可能触发的风险,不会对其进行处置。 |
√ |
√ |
√ |
√ |
||
诱饵捕获 |
诱饵捕获 |
基于勒索样本攻击路径分析,在勒索必经路径放置诱饵文件,让勒索软件优先命中诱饵文件,并触发告警事件。 |
× |
√ |
√ |
√ |
|
备份恢复 |
勒索本地轻量化备份恢复 |
轻量备份技术,自动恢复勒索加密文件,回滚恶意攻击链的完整行为操作。 |
× |
√ |
√ |
√ |
|
文件防篡改 |
文件防篡改 |
支持用户自定义数据存储位置、数据类型、可访问进程等属性,创建自定义数据资产防篡改策略,实时拦截恶意加密、删除等篡改行为。 |
× |
× |
× |
√ |
试用套餐申请说明
终端防护与响应服务试用套餐目前仅支持线上申请方式,提供终端防护服务试用版、终端防护服务试用版(PC专业版)、终端防护服务试用版(服务器版)等套餐规格,各试用套餐对应的产品功能分别与PC标准版、PC专业版、Windows Server服务器版一致,产品功能介绍请参见表3,操作系统要求请参见表4。
用户需在华为乾坤商城向华为乾坤运营人员进行试用套餐申请,具体操作请参见《服务开通》的“购买与开通服务”章节。
套餐扣减方式
在套餐规定使用时间(套餐激活后一自然年)内,对资产数进行扣减计算。
套餐扣减方式:
- 每上线一个资产,扣减1剩余资产数。
- 每下线一个资产,释放1剩余资产数。
- 若同一用户在使用终端防护与响应服务时绑定多个套餐,资产首次上线时,将采用“终端防护服务试用版(PC专业版)->终端防护服务试用版->终端防护服务试用版(服务器版)->PC专业版->PC基础版->Windows Server服务器版”的先后顺序进行套餐扣减。如需修改资产的套餐信息,请在资产上线后再重新指定。
- 资产上线是指终端资产已安装EDR Agent并激活,云端对该资产进行纳管;下线是指终端资产已卸载EDR Agent,云端不再对该资产进行纳管。
- EDR Agent状态(在线、离线)与此处的上线、下线有本质区别,请注意甄别,以免影响您的使用体验。
通过上述扣减方式,可能会出现以下情况:
- 在订单到期前,因上线的资产数较多,导致资产数不足。此情况下,系统将会提醒客户追加购买新套餐。
- 在订单到期时,因上线的资产数较少,导致资产数未使用完。此情况下,因订单到期,旧套餐的剩余资产数作废,需要客户追加购买新套餐后再使用。