EDR是什么

端点检测和响应 (EDR) 是一个系统，用于收集和分析与安全威胁相关的信息，旨在发现安全漏洞并快速响应已发现或潜在威胁。EDR结合了数据和行为分析，以有效应对新出现的威胁和主动攻击。它可以保护计算机系统，识别新型恶意软件、漏洞利用链、勒索软件和高级持续威胁 (APT) 等威胁。EDR的功能包括信息收集和分析，威胁响应，自动修复活动以及事件调查和取证。一些受欢迎的EDR工具供应商包括McAfee MVision EDR、CrowdStrike Falcon Insight、VMware Carbon Black Cloud Endpoint、Broadcom EDR和FireEye端点安全工具。这些工具帮助组织持续监控端点和服务器，检测和响应潜在的恶意行为，减轻安全威胁对网络的损害。

端点检测和响应 (EDR)
端点检测和响应 (EDR) 是一个从计算机工作站和其他端点收集和分析与安全威胁相关的信息的系统，目的是在发生安全漏洞时发现安全漏洞，并促进对已发现或潜在威胁的快速响应。术语“端点检测和响应”仅描述工具集的整体功能。因此，EDR 系统的细节和功能可能因实施方式的不同而有很大差异。

EDR 实施可能是：

• 特定用途的工具
• 较大安全监控工具的一小部分
• 一起使用来完成任务的松散的工具集合

随着攻击者不断更新其方法和能力，传统的保护系统可能会失效。EDR 结合了数据和行为分析，使其能够有效应对新出现的威胁和主动攻击，例如：

• 新型恶意软件
• 新兴的漏洞利用链
• 勒索软件
• 高级持续威胁 (APT)

端点检测和响应工具收集的历史数据可以让您高枕无忧，并可以针对主动利用的 0Day 攻击提供补救措施，即使在无法采取缓解措施的情况下也是如此。IT 安全行业认为 EDR 是一种高级威胁防护形式。

端点检测和响应的使用和功能
EDR 主要关注端点，端点可以是网络中的任何计算机系统，例如最终用户工作站或服务器。它们可以保护大多数操作系统（即 Windows、macOS、Linux、BSD 等），但不包括网络监控。

从端点、防火墙、网络扫描和互联网日志等多种来源收集信息的系统被视为安全信息和事件管理 ( SIEM )。然而，安全供应商可能会提供 EDR 作为 SIEM 包的一部分，供安全运营中心 ( SOC ) 用于调查和响应威胁。

EDR 是完整信息安全态势的一个组成部分。它不是防病毒软件，但它可能具有防病毒功能或使用其他防病毒产品的数据。防病毒软件主要负责防范已知的恶意软件，而执行良好的端点保护和响应程序会在运行时发现新的漏洞，并在活动事件期间检测攻击者的恶意活动。这使得 EDR 能够检测无文件恶意软件攻击和使用被盗凭据的攻击者，而仅靠传统防病毒软件无法阻止这些攻击。然而，许多 EDR 系统是下一代防病毒产品的一部分。

EDR 系统的作用大致分为两类：

• 信息收集和分析
• 威胁响应

由于不同供应商的 EDR 功能差异很大，因此研究 EDR 系统的组织应仔细研究任何拟议系统的功能。他们还应该考虑它与当前整体安全能力的集成程度。

EDR 的信息收集和分析功能从端点收集和组织数据，然后使用该信息来识别异常情况或趋势。它使用来自端点的许多数据源，其中可以包括：

• 日志
• 性能监控
• 文件详细信息
• 正在运行的进程
• 配置数据或其他信息

安装在端点上的专用代理可以收集此数据，或者系统可以使用内置操作系统功能和其他帮助程序。

EDR 系统组织并分析收集到的数据。客户端设备可以执行其中的部分功能，但通常由中央系统（硬件设备、虚拟服务器或云服务）执行这些功能。

简单的 EDR 系统可能仅收集和显示此数据或聚合数据并显示趋势。操作员可能会发现很难根据此类数据进行跟踪并做出决策。

先进的 EDR 系统可以包括机器学习或人工智能，以自动识别新的和正在出现的威胁并发出警报。他们还可以使用产品供应商的汇总信息来更好地标记威胁。某些系统允许将观察到的可疑行为映射到 MITRE ATT&CK 框架，以帮助检测模式。

EDR 的威胁响应功能可帮助操作员采取纠正措施、诊断进一步的问题并执行取证分析，这可以允许问题跟踪并帮助发现类似的活动或以其他方式帮助调查。取证功能有助于建立时间表、识别违规后受影响的系统，并可能能够收集工件或调查可疑端点中的实时系统内存。结合历史和当前的情况数据有助于提供事件期间的更全面的情况。

某些端点检测和响应系统可以执行自动修复活动，例如断开或停止受感染的进程或向用户或信息安全组发出警报。他们还可以主动隔离或禁用可疑端点或帐户。良好的事件响应系统还有助于在发生活跃事件时协调团队，帮助减少其影响。

端点检测和响应工具
一些受欢迎的供应商提供 EDR 功能作为独立产品或作为服务包的一部分：

• McAfee MVision EDR 是一款具有 AI 引导调查功能的云原生 EDR 工具
• CrowdStrike Falcon Insight 通过众包信息收集提供高可见性和端点安全态势分析，以帮助检测和减轻攻击
• VMware Carbon Black Cloud Endpoint 是一款具有云 EDR 行为分析功能的下一代云防病毒产品
• Broadcom EDR 可与 Symantec Endpoint Protection (SEP) 套件一起使用或作为可溶解代理使用
• FireEye 端点安全工具提供 EDR 功能，并可以使用行为分析和妥协指标执行自动响应和管理
• 存在多种开源工具，但它们可能需要大量配置或额外的系统才能发挥全部功能。这些工具包括：
  • OSSEC
  • Wazuh
  • TheHive Cortex
  • Open EDR

端点检测和响应工具使组织能够持续监控端点和服务器以发现潜在的恶意行为。有效的 EDR 工具可以检测并响应这些事件，以减轻对端点和更广泛网络的损害。