1. 方案背景

相比于个人终端而言，企业终端、数据等资产价值更高。边界安全设备作为防御外部攻击的第一道防线，黑客一旦突破边界，横向渗透内部其他业务系统，窃取终端核心数据，将会给企业带来巨大损失。当前边界与终端两侧的防护往往割裂，存在如下问题：

 ⚫ 问题难定位：边界与终端侧安全产品数据未打通，运营人员需要自行协调人员配合对风险主机做排查和定位。人员协调配合耗时长，风险主机关联责任人、威胁事件根因难定位；

 ⚫ 威胁难处置：处置威胁事件时，运营人员往往需要频繁切换两端安全产品做分析和处置。处置操作麻烦，且难以确保终端侧处置的威胁文件就是告警根因。网端两侧处置结果不同步，威胁事件难以处置干净，易反复（如挖矿、勒索病毒反复等）；

⚫ 重复工作多：业务部门人员抱怨终端卡顿、办公较慢等问题，都需要运营人员自己定位分析，再使用终端侧安全软件做查杀处置。重复杀毒工作多，浪费人力，威胁事件响应效率低。
 

2. 解决方案
 

通过 AF+EDR 构建网端纵深防护体系，帮助用户精准定位威胁事件根因，一键联动快速处置。无需协调人员配合即可快速处置威胁，控制威胁蔓延。减少人力运营，提升安全运营效率。

网端数据关联举证，精准定位EDR
上报终端威胁信息至 AF，为 AF 精准定位威胁提供数据源。风险主机责任人、威胁进程、威胁文件详细定位；僵尸网络进程链、父子进程展示，还原攻击入侵路径。让安全问题不再“难”定位。

网端联动协同配合，彻底处置

网络侧的告警事件，可直接在 AF 界面一键联动 EDR 在终端侧扫描查杀。EDR 自动上报查杀结果，用 户可发起一键隔离、信任等处置操作。从事件告警到处置，用户只需在 AF 界面操作。终端侧的处置结果也会同步上报至 AF，网端两侧处置结果同步。事件与根因相对应，让安全事件彻底处置“干净”。

同类事件自动联动，简化分析

AF 能记住处置过的僵尸网络事件中风险终端外连的域名，如有终端外连此域名时，可自动联动 EDR 对其处置，减少重复分析工作和人力投入，让安全运营更高效。
 

3. 方案价值
 

⚫ 更快速的响应效率：网端两侧数据打通，AF 可直接联动 EDR 对风险主机一键查杀，从告警到处置，无需协调人员配合即可实现安全威胁快速处置。
⚫ 更彻底的威胁处置：AF 可联动 EDR 精准定位安全事件根因，对威胁文件、进程详细定位，展示僵尸网络父子进程。一键彻底处置威胁根因，网端两侧处置同步，避免威胁事件反复发生（如挖矿、勒索病毒事件反复）。

⚫ 更高效的安全运营：AF 可记住处置过的僵尸网络域名，当发现有终端外连此恶意域名的情况，可自动联动 EDR 对其处置。减少人力重复工作，提高安全运营效率。
 

方案部署拓扑图