EPP/EDR主要检测功能

最新推荐文章于 2024-07-14 19:52:31 发布
最新推荐文章于 2024-07-14 19:52:31 发布
阅读量2k 收藏 3
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27979907/article/details/115005378
版权

澄清:本人对反病毒十分外行。

EDR发展路线:
在这里插入图片描述

功能
特征值特征码
启发式引擎可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件,调用系统组件svchost.exe来开启后门服务,隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。
威胁情报STIX2.0 包含的:域名、IP、文件、证书、网络连接等
反漏洞hips防止提权、窃取凭证、各应用漏洞 HIDS功能
异常检测进程、网络、行为
无文件攻击防护例如漏洞通过网络包直接注入内核;恶意代码在设备固件;Powershell;命令行解析防护
网络攻击防护流量分析、att&ck
沙箱分析文件分析;跟踪API调用和文件的行为;网络流量分析;内存分析等
勒索缓解快照、回滚文件
ML/AI病毒样本形成样本向量、向量机,建立决策机模型,利用决策树和向量机,进行学习,从而识别恶意程序。
EDR关联端点的网络、进程事件。
给出安全事件调查信息。
将端点修复到感染前状态。
Wangcy.
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EDR 完全指南:关于 EDR 的那些事儿
systemino的博客
11-04 5万+
随着黑客智能攻击技术的不断提高,即使是最好的攻击手段,用来防御的技术也在不断提高。 端点检测与响应(Endpoint Detection & Response,EDR)这样的技术对于企业或托管服务提供商(managed service providers,MSPs)来说是无价的,但是有了这样一个强大的工具,就有许多问题需要回答,以便了解它是如何工作的,它能防止什么,以及它能提供什么...
EPP vs EDR:有什么区别
最新发布
hongfu951的专栏
08-07 670
EPP 是一种旨在检测和防止终端设备上威胁的安全解决方案。根据 Gartner 的说法,EPP 能够防止攻击、识别恶意活动,并提供工具来调查和应对网络安全事件。EPP 主要通过利用 AI、机器学习和行为分析来保护终端免受恶意软件、零日漏洞和无文件攻击等威胁。主要功能包括静态分析、威胁签名匹配、白名单/黑名单、沙箱检测、行为分析和实时监控。
网络安全设备——EDR
Nove1205的博客
07-14 1247
网络安全中的EDR是什么?
安全 / EPPEDR 主要检测功能
布袋和尚
01-30 2099
EDR发展路线: 功能 项 特征值 特征码 启发式引擎 可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件,调用系统组件svchost.exe来开启后门服务,隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。 威胁情报 STIX2.0 包含的:域名、IP、文件、证书、网络连接等 反漏洞
一文读懂什么是EPPEDR、CWPP、HIDS及业内主流产品
热门推荐
weixin_43909140的博客
04-26 3万+
一文读懂什么是EPPEDR、CWPP、HIDS及业内主流产品 当前终端安全概念包括:针对云工作负载保护平台cwpp、端点防护平台epp和终端全检测响应平台edr。HIDS品类(长亭牧云、青藤万相)更倾向于CWPP的落地产品。 1、EPPEDR 如果通俗的讲可以理解成传统防病毒和下一代防病毒软件(其实EPP之前的阶段才是传统杀毒),但实际上EDR是个方案,深信服EDR、奇安信天擎、安恒明御对外宣传都是EDR产品,从产品能力严谨来讲,这些产品属于EPP+EDR的方案结合产物,其中EPP解决...
EPPEDR是什么,如何提高端点安全性
HoewDec的博客
04-17 1067
通过威胁分析,网络管理员可以更好地理解攻击者的动机、手法和目标,从而制定更有效的防御策略,并提供有效的预警和应对措施,降低安全风险。通过部署全面的威胁检测与分析系统、制定合理的安全策略、进行安全培训和演练、建立应急响应机制以及持续监控与升级等方面的实践,我们可以有效地提升组织的安全防御能力,降低潜在的安全风险。虽然 EPP 为端点保护提供了坚实的基础,但它们在检测和阻止新出现的威胁方面的局限性凸显了对额外保护层(例如 EDR 工具)的需求。行为分析技术可以结合机器学习和人工智能技术,实现更精准的威胁检测
认识XDR-扩展威胁检测与响应平台--翻译
elevn的博客
08-19 1659
XDR 于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出,2020-2021 年连续入选 Gartner 端点安全、安全运营技术成熟度曲线,目前处于创新启动期。XDR全名是Extended Detection and Response(扩展检测和响应),因为缩写与EDR重名了,所以就取了Extended第二个字母X,缩成了XDR。Gartner给出的XDR定义为:XDR是一种基于SaaS。
关于欺骗技术和EDR的4件事_郑伟.pdf
02-03
网络安全领域的重点正逐渐从端点保护(EPP)转移到端点检测和响应(EDR)以及托管检测和响应(MDR)解决方案,这是因为现代威胁形势的复杂性和快速变化。攻击者能够绕过传统的防御措施,如反病毒软件,使得预防、...
卡巴斯基EDR资料
01-10
EDR主要指的是一种专注于检测和调查主机/终端上的可疑活动及其痕迹的安全工具。 - **演变过程**: - 最初被称为ETDR,强调对威胁的检测和响应。 - 随着时间发展,“Threat”这个词被去掉,演变为现在的EDR。 - EDR...
安全研究视角看macOS平台EDR安全能力建议 - 看雪峰会2019.pdf
07-21
EDR主要专注于检测和调查主机/端点上的可疑活动及其痕迹,从而为用户提供更深层次的安全保障。与传统的安全解决方案相比,EDR不仅仅是工具的集合,而是一套完整的能力体系。 ##### 2. EDR与其他安全产品对比 报告中...
ioc-lists
03-31
5. **分析与监控**:这些列表可以被集成到SIEM(安全信息和事件管理)系统、IDS/IPS(入侵检测/防御系统)或者EPP/EDR(终端保护平台/终端检测响应)工具中,实现对网络流量和系统活动的深度分析。 6. **更新与维护...
EDR端点检测与响应(终端安全防护)
QuJJan的博客
01-20 1794
端点台式机服务器移动设备和嵌入式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。端点检测与响应不同于端点的被动防护思路是通过云端威胁情报机器学习异常行为分析攻击指示器等方式。主动发现外部或内部的安全威胁,并进行自动化的阻止取证补救和溯源,从而有效对端点进行防护。举例360天擎终端检测与响应系统。
CWPP(云工作负载保护平台)
m0_37740029的博客
05-27 1465
CWPP(云工作负载保护平台) 现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。云工作负载保护平台(CWPP)市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。 可以理解...
EDR介绍
m0_37740029的博客
05-27 1万+
什么是EDR 一、端点检测与响应 端点:台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。 端点检测与响应((Endpoint Detection and Response,EDR):完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。 举例:360天擎终端检测与响应系
深信服EDR终端响应平台
m0_51186260的博客
06-14 1万+
深信服EDR检测响应平台
EDR、CWPP、微隔离——这仨货到底啥关系?
蔷薇灵动
08-19 6049
我们今天探讨的问题就如标题所列,主要是关于三个炙手可热的新技术之间的关系问题。我们(蔷薇灵动)一直认为这三个技术的区分是比较直观明了的,但事实上发现还真不是这样,别说普通用户,就连圈子里面的产品经理也不是都能讲得明白,而当我们看到有的用户把大量的EDR装在云计算工作负载上,我们认为有必要写一篇技术文章做个探讨。 技术定义 在具体分析这三个技术的差别之前,我们有必要先给它们各自做个定义,以确保我们后续的讨论是基于某些明确的技术概念(这个很重要)。另外,这里还要声明,本段定义完全出于笔者的经验认知,不严
vxWorks6.9版本 edr 功能--设备异常恢复、异常记录
Surest的博客
07-10 4095
  一、背景介绍 vxWorks提供了一种错误检测及报告的机制帮助开发者调试软件,6.9版本中称为edr功能。在创建内核时,在workbench组件编辑 component configuration 中可以找到如下组件     这个edr功能的特性:在RAM中保留一块内存区域,热启动时不会擦除该块区域的内容,此区域用做edr记录的空间。vxWorks内核在处理CPU、用户以及地址...
杀毒软件、HIPS与微点 分析三者区别
weixin_34148340的博客
07-09 383
这里首先说一下,之所以把微点单独拿出来比较,是因为它既不同于传统杀软,又不同于通常意义的HIPS,从我个人的理解,微点不具备杀毒引擎,所以是绝对不能归类为杀软的,它更倾向与HIPS,不过更为智能化。今天作这个比较,是想让大家清晰认识三者的区别和各自的优劣一、总论1、杀毒软件纯个人理解,杀软需具备三大要素:病毒特征库、杀毒引擎、监控通过扫描,将系统中文件的特征码与其病毒特征库的...
wpc 的bpp/epp,fod
11-02
WPC是指无线电能传输技术(Wireless Power Transfer),它通过无线方式将电能传输到设备中,不需要使用传统的有线连接。WPC的技术包括bpp(Base Power Profile)和epp(Extended Power Profile),这两种是WPC的充电协议。 bpp是一种基本的充电协议,它适用于一些低功率设备,例如智能手表、充电宝等。bpp将电能以相对较低的功率传输到设备中,可以满足一般的充电需求。 而epp是一种扩展的充电协议,它适用于高功率设备,例如智能手机、平板电脑等。epp可以支持更大的功率输出,可以更快地充电设备。此外,epp还具有更好的兼容性,可以适应不同设备的充电需求。 FOD是指外部物体检测(Foreign Object Detection),它是WPC中的一项重要技术。传统的无线充电技术在遇到外部金属物体时可能会产生热量,甚至损坏设备。而FOD技术可以检测到周围的外部物体,避免了这种情况的发生。 总之,WPC的bpp和epp是一种无线充电技术的协议,可以满足不同设备的充电需求。而FOD技术则是WPC中的一项保护措施,可以确保充电过程中的安全性。这些技术的应用将会为我们的充电体验带来更大的便利和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值