安全领域的EDR是什么

有时面试题会问的。

EDR（终端检测与响应） 其实我觉得可以视为传统杀软的加强版。

Gartner 于 2013
年定义了这一术语，被认为是一种面向未来的终端解决方案，以端点为基础，结合终端安全大数据对未知威胁和异常行为进行分析，并作出快速响应，后来被业界通称为端点检测和响应
(EDR)。

端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013
年创造的，他写道：“这个名称反映了端点（相对于网络）、威胁（相对于恶意软件和官方宣布的事件）和工具“主要用于检测和事件响应”该术语于 2015 年更改为
EDR。

什么是端点？端点包括笔记本电脑、移动设备、工作站、服务器和任何网络入口点，几乎任何连接到组织网络的东西都应该被视为端点。

端点检测和响应平台执行以下关键功能：

收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据

为安全团队提供文件和事件日志

当系统检测到异常或攻击时向安全运营中心 (SOC) 和安全分析师发出警报

分析收集的端点和网络数据，以便企业可以查看异常和正常流量的模式

执行补救任务，例如终止进程、阻止应用程序或运行脚本来阻止恶意行为

允许安全团队查看文件、事件日志、网络连接和配置

总之，EDR是一种主动式端点安全解决方案。EDR能够实时监控端点设备的活动，包括文件访问、进程执行、网络连接等，以便识别异常行为。同时，它使用行为分析、签名匹配、机器学习等技术来检测潜在的威胁和攻击模式，并快速响应检测到的威胁，如隔离感染设备、阻止攻击传播、修复漏洞等。EDR解决方案通常提供威胁搜寻、检测、分析和响应功能，旨在提高组织的安全性和降低风险。

EDR和传统杀毒软件之间其实存在一些重叠和交叉。甚至现在不少传统杀软都有EDR的特征。只不过理解起来EDR应该还是更加全面一些。。。EDR一般会利用大数据、人工智能等新技术来对对攻击者行为进行分析，但是其实不少传统杀软都能做到这些了。。。

EDR和传统杀软的不同我觉得主要有以下两点：

1.EDR要更加依赖于对端点上发生的事情的行为分析。他不严重依赖于签名。传统杀软往往见到你有微软、腾讯什甚至一些可信第三方么的签名就一般不会管你了。

例如，如果一个 正常的有签名的exe程序突然产生一个 PowerShell
进程并执行一个未知的脚本，这种行为是非常可疑的。那么，该文件就将被标记和隔离，直到确认该过程的安全性。但是在很多杀软里面，本身powershell的执行就是白名单。他不会管的。

2.EDR更加全面和体系化，统一管理做得好，有微隔离，有远程协助，有统一的病毒扫描和漏洞修复功能。甚至还能自动修复漏洞。总之这么一看就完全是传统杀软的升级版。

我们可以如此模拟一个EDR的使用。

假设场景 ：一个简单的EDR系统，用于监控Windows系统上的文件访问行为，并检测可疑的文件访问。

核心组件 ：

1. 数据收集器 ：负责收集端点设备上的文件访问事件。
2. 分析引擎 ：对收集到的数据进行分析，检测可疑行为。
3. 响应模块 ：根据分析引擎的指示，执行相应的响应操作。

代码示例

# 假设我们有一个函数来模拟数据收集器，它返回文件访问事件  
def collect_file_access_events():  
    # 这里只是模拟，实际情况下会从系统日志、文件监控工具等获取数据  
    return [  
        {"filename": "C:\\example\\normal_file.txt", "user": "Alice", "time": "2023-10-23 10:00:00"},  
        {"filename": "C:\\example\\suspicious_file.exe", "user": "Bob", "time": "2023-10-23 10:10:00"},  
        # ... 其他事件  
    ]  
  
# 分析引擎函数，用于检测可疑行为  
def analyze_events(events):  
    suspicious_events = []  
    for event in events:  
        if event["filename"].endswith(".exe") and event["user"] == "Bob":  
            # 假设Bob用户访问.exe文件是可疑的  
            suspicious_events.append(event)  
    return suspicious_events  
  
# 响应模块函数，根据可疑行为执行相应操作  
def respond_to_suspicious_events(suspicious_events):  
    for event in suspicious_events:  
        print(f"Detected suspicious file access: {event['filename']} by user {event['user']}")  
        # 在这里可以添加更复杂的响应操作，如隔离设备、发送警报等  
  
# 主程序  
def main():  
    events = collect_file_access_events()  
    suspicious_events = analyze_events(events)  
    respond_to_suspicious_events(suspicious_events)  
  
# 运行主程序  
if __name__ == "__main__":  
    main()

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。