防御与运营
EDR(端点检测与响应)
定义
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
端点检测与响应(EDR)在笔记本、服务器和虚拟机上部署内核态或用户态代理,持续向云端分析后台输送丰富遥测——进程树、命令行、文件写入、注册表变更、网络连接、脚本内容等。基于行为的规则、机器学习以及与威胁情报的匹配生成告警,分析师可以借助完整的进程谱系进行下钻分析,并通过同一控制台执行隔离主机、文件隔离、远程 Shell、回滚等响应动作。EDR 是 XDR 与现代事件响应流程的基础。常见产品包括 CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne 和 Carbon Black。
示例
- CrowdStrike Falcon 检测到 MSHTA 派生的可疑子进程随后连接到已知 C2 并触发告警。
- Microsoft Defender for Endpoint 在检测到 mimikatz 凭据窃取后隔离主机。
相关术语
EPP(端点保护平台)
结合杀毒、反恶意软件、主机防火墙与漏洞利用防护的预防型端点安全套件,用于在威胁执行前进行阻断。
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Threat Hunting
Threat Hunting — definition coming soon.