EDR(端点检测与响应)

Q: EDR(端点检测与响应) 是什么?

持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。 它属于网络安全的 防御与运营 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

EDR(端点检测与响应) 是什么?

EDR(端点检测与响应)持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。

端点检测与响应(EDR)在笔记本、服务器和虚拟机上部署内核态或用户态代理,持续向云端分析后台输送丰富遥测——进程树、命令行、文件写入、注册表变更、网络连接、脚本内容等。基于行为的规则、机器学习以及与威胁情报的匹配生成告警,分析师可以借助完整的进程谱系进行下钻分析,并通过同一控制台执行隔离主机、文件隔离、远程 Shell、回滚等响应动作。EDR 是 XDR 与现代事件响应流程的基础。常见产品包括 CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne 和 Carbon Black。

● 示例

01
CrowdStrike Falcon 检测到 MSHTA 派生的可疑子进程随后连接到已知 C2 并触发告警。
02
Microsoft Defender for Endpoint 在检测到 mimikatz 凭据窃取后隔离主机。

● 常见问题

EDR(端点检测与响应) 是什么?

持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。它属于网络安全的防御与运营分类。

EDR(端点检测与响应) 是什么意思?

持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。

如何防御 EDR(端点检测与响应)?

针对 EDR(端点检测与响应) 的防御通常结合技术控制与运营实践,详见上方完整定义。

EDR(端点检测与响应)