隨著黑客智能攻擊技術的不斷提高，即使是最好的攻擊手段，用來防御的技術也在不斷提高。 端點檢測與響應(Endpoint Detection & Response，EDR)這樣的技術對于企業或托管服務提供商(managed service providers，MSPs)來說是無價的，但是有了這樣一個強大的工具，就有許多問題需要回答，以便了解它是如何工作的，它能防止什么，以及它能提供什么。

　　什么是 EDR? 端點檢測與響應(Endpoint Detection & Response，EDR)是一種主動的安全方法，可以實時監控端點，并搜索滲透到公司防御系統中的威脅。 這是一種新興的技術，可以更好地了解端點上發生的事情，提供關于攻擊的上下文和詳細信息。

　　EDR 是如何工作的? 一旦安裝了 EDR 技術，它就會使用先進的算法來分析系統上單個用戶的行為，允許它記住和連接他們的活動。 就像你經常注意到的那樣，當你身邊的某個人感覺不對勁或者與眾不同的時候，這項技術可以“感知”到你系統中某個特定用戶的異常行為。 數據會立即被過濾、豐富和監控，以防出現惡意行為的跡象。 這些跡象觸發了警報，調查就開始了ーー確定攻擊是真是假。 如果檢測到惡意活動，算法將跟蹤攻擊路徑并將其構建回入口點。 然后，該技術將所有數據點合并到稱為惡意操作(MalOps)的窄類別中，使分析人員更容易查看。 在發生真正的攻擊事件時，客戶會得到通知，并得到可采取行動的響應步驟和建議，以便進行進一步調查和高級取證。 如果是誤報，則警報關閉，只增加調查記錄，不會通知客戶。

　　EDR 能夠檢測到什么類型的威脅? EDR 保護用戶免受無文件型的惡意軟件，惡意腳本，或被竊取的用戶憑證的攻擊。 它被設計用來跟蹤攻擊者使用的技術、策略和過程。 但是它還有更深的含義。 它不僅可以了解攻擊者如何侵入你的網絡，還可以檢測他們的活動路徑: 他們如何了解你的網絡，如何轉移到其他機器上，并試圖在攻擊中實現他們的目標。 你可以避免以下情況: · 惡意軟件(犯罪軟件、勒索軟件等) · 無文件型攻擊 · 濫用合法應用程序 · 可疑的用戶活動和行為

　　EDR 的要素是什么? EDR 是獨一無二的，因為它的算法不僅可以檢測和打擊威脅，還可以簡化警報和攻擊數據的管理。 使用行為分析來實時分析用戶活動，可以在不干擾端點的情況下立即檢測潛在威脅。 它通過將攻擊數據合并到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個安全的網絡，從而增強了取證分析的能力。

　　如何用 EDR 處理事件? EDR 以創新的方式處理和應對威脅，簡化分析師的調查，ktv節省時間和金錢。 該系統監控成千上萬的數據點或警報，并將它們合并為一個叫做 MalOps 的窄類別。 然后，這些數據通過人工智能引擎進行處理和過濾，并與以前的數據集模式和行為進行比較，以幫助識別以前未知或已知的惡意行為。 在比較了當前和過去的數據之后，AI 引擎內部做出決定，發送關于事件的警報，限制活動，消除威脅，并修復任何遭到損壞的系統。 由于使用 MalOps 將事件合并到一個窄類別中，分析師所需的調查時間大大減少。 根據 Infosecurity Group 的數據，2017年每天至少有360,000個新的惡意文件被檢測到，這意味著公司必須積極應對這些威脅，并擁有更加簡化的檢測和審查流程。 這使得分析師能夠有效地打擊和發現最大的威脅。

　　EDR 收集什么信息? 端點檢測和響應通過安裝在端點上的傳感器運行而不需要重新啟動。 所有這些數據被拼接在一起，形成了一個完整的端點活動圖，無論設備位于何處。

　　為什么 EDR 優于傳統的攻擊事后分析方法? 隨著攻擊者技術的不斷提高和方法的不斷調整，傳統的攻擊事后分析方法已經不能滿足需要。 首先是響應時間。 在被攻擊之后，時間是至關重要的，緩慢的調查可能對你的公司有害 傳統方法需要更長的調查時間ーー而攻擊者可能會對你的網絡造成更大的破壞，并將你的客戶端和數據置于危險之中。 傳統的方法也限制了調查的深度和廣度。

　　即使它們能夠確定受影響的區域，傳統方法通常也無法顯示攻擊進入的位置和路徑。 EDR 可以讓你知道何時發生了攻擊，但也可以編譯行為數據來顯示你的網絡上的攻擊路徑，從它進入的位置到它采取的動作。 此外，EDR 編譯數據的方式使分析人員更容易查看，大大減少了需要分析的數據量。 這反過來又減少了攻擊事后分析的總體時間和成本。

　　傳統反病毒軟件 vs EDR 人們常問的一個問題是 EDR 與傳統反病毒軟件(AV)或下一代反病毒(NGAV)之間的區別。 在他們看來，他們不需要這兩種技術。 但事實并非如此。 事實上，這兩種技術在保護你的網絡方面有不同的用途。 反病毒和下一代反病毒專注于預防，但對攻擊期間發生的情況一無所知。 它們被設計用來在壞的東西進入你的網絡之前捕捉它們。 但是即使它們正確地做到了這一點，它們也不能告訴你惡意軟件來自哪里，以及它們是如何在系統中傳播的。 EDR 描述的是整個攻擊過程，并幫助你跟蹤可執行文件是如何獲得對計算機的訪問權限并嘗試運行的。 EDR 不僅提供了可見性，當一個攻擊行為被 AV 阻止，或者是一個不錯 NGAV 防控失敗，那么在這種情況下，你最有可能處理發的是一個嚴重的攻擊，如無文件型的惡意軟件，零日漏洞，或高級持續性威脅。

　　這些類型的攻擊不會留下簽名，這使得它們更難防范，而且如果沒有 EDR 這樣的服務幾乎不可能被發現。 它會警告你攻擊未遂，當攻擊者已經繞過你的所有防御措施并在你的網絡中時，EDR 會為你提供洞察能力。 EDR 與 SIEM 的區別 另一個常見的問題是 EDR 與安全信息和事件管理(SIEM)之間的區別。 SIEM 是一種從防火墻、服務器和網絡設備收集日志的技術。 它整合了你的所有網絡日志，以幫助跟蹤行為、識別威脅并進行調查。 但是，你必須設置規則和查詢來告訴 SIEM 要查找什么以及要跟蹤什么行為。 SIEM 是一個非常好的服務，可以全面地觀察發生在你的網絡上的活動。 EDR 專門整合和分析端點數據，為分析人員提供設備，xise而不是要求他們分析成千上萬的日志或事件。

　　最終，這兩種技術服務于不同的目的，并且可以在一個安全的網絡環境中相互補充，但是 EDR 的主要目的是簡化并有效地檢測和應對威脅。 EDR 的額外好處 EDR 的創新性和有效性本身就證明了它的價值，但是還有比這項技術更深層次的好處。

　　更具成本效益。EDR 不是雇傭一個7*24 小時的內部安全團隊或者讓自己暴露在大規模攻擊面前，而是允許你在公司的安全和數據上進行投資，這對于一個中小規模的團隊來說是現實的。 · 節省時間 因為使用 MalOps 進行分析的警報較少，而且誤報也較少，所以 EDR 允許分析人員花更多的時間研究合法威脅。

　　提高團隊效率 EDR沒有通過警報進行解析并將其與其他數據點進行比較，而是將數據點關聯到一個攻擊事件中，從而節省了分析人員大量的開銷和時間。這使得團隊能夠更有效地處理數據并保護公司。

　　安全分析師扮演著什么角色? EDR 的美妙之處在于它結合了先進的技術和分析師的專業知識 在檢測、路徑分析和橫向移動階段不需要人為因素。 對收集到的數據集進行分析和解釋仍然很重要，但在檢測到的事件的最初幾秒鐘內并不重要。 這樣就可以加強對網絡的保護，并允許安全分析師調查合法的威脅，而不是通過誤報進行過濾。

　　由于使用 EDR 和 MalOps 對數據進行了整合，因此理解、診斷和補救問題更加容易和直觀。 這使得分析師能夠調查并提供合法威脅的解決方案。

　　如何安裝 EDR? 安裝很簡單——只需一個可執行文件，就可以通過軟件發布工具手動安裝、編寫腳本或部署。 一般來說，是通過 HTTPS 連接到主控臺，這種方式不需要額外的防火墻規則。 所有警報都從主控制臺監視和報告。 EDR 的影響 最終，EDR 可以對中小型公司產生巨大的影響，并為他們的業務、客戶和數據提供保護和安全性。

　　隨著黑客情報的不斷增長，企業正面臨越來越大的風險。 如果沒有一個適當的端點檢測和響應計劃，那將是非常危險的。

　　更多關于網絡安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經驗，采用全程面授高品質、高體驗培養模式，擁有國內一體化教學管理及學員服務，助力更多學員實現高薪夢想。