EDR端点检测与响应

1.什么时EDR

:完全不同以往的端点被防护思路，而是通过云端威胁情报，机器学习，异常行为分析，攻击指示器等方式，主动发现来自外部或内部的安全威胁。并进行自动化的阻止，取证，补救和溯源从而有效对端点进行防护。

EDR的四种能力

：
1.预测：风险评估，预测威胁，基线安全态势
2.防护：强化系统，隔离系统，防止攻击。
3.检测：检测事件，确认风险并确定优先顺序，包含事件。
4.响应：补救、设计规则变更，调查事件
**

2.EDR如何工作

**
1) 检测：一旦安装EDR技术，它就会使用先进算法来分析系统上单个用户的行为，允许记住和连接他们的活动
2）调查：感知到系统中某个特定的用户有异常行为，数据会立即被过滤，丰富和监控以防出现恶意行为的迹象，这些迹象触发了警报，调查就开始了一一确定攻击是真是假。
3）并联跟踪：如果检测到恶意活动，算法将跟踪攻击路径并将其构建回入口点。
4）可视化：然后该技术将所有数据点合并到恶意操作，9(MaLOPs)的窄类别中，使分析人员更容易查看
5）处理：在发生真正的攻击时，客户会得到通知，并得到可采取行动的响应步骤和建议，以便进行进一步调查和高级取证，如误报，则警报关闭记录，不会通知客户处理。

3.EDR的组成：

**1）端点：**在EDR中，端点只具备信息上报安全加固，行为监控，活动文件监控，快速响应和安全取证等基本功能，负责端点检测与响应中心上报端点的运行信息，同时执行下发的安全策略和响应，取证指令。
2）端点检测与响应：由资产发现，安全加固，威胁检测，响应取证。
<1>资产发现中心：侧重于主动发挥全网端点，软硬件资源掌控全网所有端点使用情况，确保安全无盲区。
<2>安全加固检测中心：依托于第三方机构提供的安全加固资源和威胁情报，为全网端点提供漏洞扫描和加固服务。
<3>威胁检测中心：收集全网端点的用户登录，软件安装卸载，软件加载退出，网络访问.端点网络流量，硬盘文件操作，数据输入输出，外设使用等各类运行信息。
<4>响应取证中心：依赖于应急响应知识库对安全威胁进行自动化隔离，修复和补救，具体措施包括端点与网络隔离，自动完全威胁的调查，取证分析和取证工作，辅助用户确定安全威胁的来源，危害等级，危害对象，无外乎范围和影响。
3）可视化：展现针对各类端点安全威胁提供实时的可视性，可控性，降低发现和处置安全威胁的复杂度，辅助用户更快，智能地应对安全威胁。

4.EDR能够检测到什么类型的威胁

1）恶意软件（犯罪软件，勒索软件）
2）无文件型攻击
3）滥用合法应用程序
4）可疑用户的活动和行为