安全领域的EDR是什么

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量1.2k 收藏 7
点赞数 33
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43658820/article/details/138523684
版权

有时面试题会问的。

EDR(终端检测与响应)其实我觉得可以视为传统杀软的加强版。

Gartner 于 2013 年定义了这一术语,被认为是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行分析,并作出快速响应,后来被业界通称为端点检测和响应 (EDR)。

端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013 年创造的,他写道:“这个名称反映了端点(相对于网络)、威胁(相对于恶意软件和官方宣布的事件)和工具“主要用于检测和事件响应”该术语于 2015 年更改为 EDR。

什么是端点?端点包括笔记本电脑、移动设备、工作站、服务器和任何网络入口点,几乎任何连接到组织网络的东西都应该被视为端点。

端点检测和响应平台执行以下关键功能:

收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据

为安全团队提供文件和事件日志

当系统检测到异常或攻击时向安全运营中心 (SOC) 和安全分析师发出警报

分析收集的端点和网络数据,以便企业可以查看异常和正常流量的模式

执行补救任务,例如终止进程、阻止应用程序或运行脚本来阻止恶意行为

允许安全团队查看文件、事件日志、网络连接和配置

总之,EDR是一种主动式端点安全解决方案。EDR能够实时监控端点设备的活动,包括文件访问、进程执行、网络连接等,以便识别异常行为。同时,它使用行为分析、签名匹配、机器学习等技术来检测潜在的威胁和攻击模式,并快速响应检测到的威胁,如隔离感染设备、阻止攻击传播、修复漏洞等。EDR解决方案通常提供威胁搜寻、检测、分析和响应功能,旨在提高组织的安全性和降低风险。

EDR和传统杀毒软件之间其实存在一些重叠和交叉。甚至现在不少传统杀软都有EDR的特征。只不过理解起来EDR应该还是更加全面一些。。。EDR一般会利用大数据、人工智能等新技术来对对攻击者行为进行分析,但是其实不少传统杀软都能做到这些了。。。

EDR和传统杀软的不同我觉得主要有以下两点:

1.EDR要更加依赖于对端点上发生的事情的行为分析。他不严重依赖于签名。传统杀软往往见到你有微软、腾讯什甚至一些可信第三方么的签名就一般不会管你了。

例如,如果一个 正常的有签名的exe程序突然产生一个 PowerShell 进程并执行一个未知的脚本,这种行为是非常可疑的。那么,该文件就将被标记和隔离,直到确认该过程的安全性。但是在很多杀软里面,本身powershell的执行就是白名单。他不会管的。

2.EDR更加全面和体系化,统一管理做得好,有微隔离,有远程协助,有统一的病毒扫描和漏洞修复功能。甚至还能自动修复漏洞。总之这么一看就完全是传统杀软的升级版。

我们可以如此模拟一个EDR的使用。

假设场景:一个简单的EDR系统,用于监控Windows系统上的文件访问行为,并检测可疑的文件访问。

核心组件

  1. 数据收集器:负责收集端点设备上的文件访问事件。
  2. 分析引擎:对收集到的数据进行分析,检测可疑行为。
  3. 响应模块:根据分析引擎的指示,执行相应的响应操作。

代码示例

# 假设我们有一个函数来模拟数据收集器,它返回文件访问事件  
def collect_file_access_events():  
    # 这里只是模拟,实际情况下会从系统日志、文件监控工具等获取数据  
    return [  
        {"filename": "C:\\example\\normal_file.txt", "user": "Alice", "time": "2023-10-23 10:00:00"},  
        {"filename": "C:\\example\\suspicious_file.exe", "user": "Bob", "time": "2023-10-23 10:10:00"},  
        # ... 其他事件  
    ]  
  
# 分析引擎函数,用于检测可疑行为  
def analyze_events(events):  
    suspicious_events = []  
    for event in events:  
        if event["filename"].endswith(".exe") and event["user"] == "Bob":  
            # 假设Bob用户访问.exe文件是可疑的  
            suspicious_events.append(event)  
    return suspicious_events  
  
# 响应模块函数,根据可疑行为执行相应操作  
def respond_to_suspicious_events(suspicious_events):  
    for event in suspicious_events:  
        print(f"Detected suspicious file access: {event['filename']} by user {event['user']}")  
        # 在这里可以添加更复杂的响应操作,如隔离设备、发送警报等  
  
# 主程序  
def main():  
    events = collect_file_access_events()  
    suspicious_events = analyze_events(events)  
    respond_to_suspicious_events(suspicious_events)  
  
# 运行主程序  
if __name__ == "__main__":  
    main()

playmaker90
关注
  • 33
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业安全防护:EDR建设实践与思考.pdf
08-08
企业安全防护:EDR建设实践与思考 EDR(Endpoint Detection and Response)是一种...10. EDR的未来发展:EDR的未来发展方向包括机器学习、人工智能、云原生等领域,旨在提供更好的安全防护能力和更高的检测准确率。
网络安全设备——EDR
Nove1205的博客
07-14 941
网络安全中的EDR是什么?
EDR介绍
热门推荐
m0_37740029的博客
05-27 1万+
什么是EDR 一、端点检测与响应 端点:台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。 端点检测与响应((Endpoint Detection and Response,EDR):完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。 举例:360天擎终端检测与响应系
网络安全EDR详解
hellochen521的博客
10-08 4541
网络安全EDR是一种重要的安全技术,用于保护和响应计算机端点上的威胁,提供实时监控、威胁检测和响应、合规性支持等功能,有助于组织提高安全性和降低风险。
安全设备篇——EDR
qq_61807674的博客
04-05 1560
但是从我个人角度出发这也是edr的侧弱点,对个人主机来说主动防御是几乎唯一的需求,但对服务器来说这是很单一的侧向,edr关注的更多只是端点安全,而忽略了点到点之间线段的安全,这就像是你的快递在到菜鸟驿站之前如果被抢劫了,你也没辙,这就需要找个强大的派送员来“押镖”,这就引出了XDR。Edr只是个概念,落实到产品上各家安全厂商都有自己的利器,先来说说鼠鼠用过的,某深x服的和微某步的edr都用过,还有某一所的,天擎也不用说了,九成九的安服仔都用过,大家感兴趣的都可以去官方主页搜一下。
EDR端点检测与响应(终端安全防护)
QuJJan的博客
01-20 1745
端点台式机服务器移动设备和嵌入式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。端点检测与响应不同于端点的被动防护思路是通过云端威胁情报机器学习异常行为分析攻击指示器等方式。主动发现外部或内部的安全威胁,并进行自动化的阻止取证补救和溯源,从而有效对端点进行防护。举例360天擎终端检测与响应系统。
【信息安全EDR、HIDS、NDR、MDR、XDR 区别与联系
Keylion ,Your Hero
04-10 1万+
随着安全态势的发展,为应对不同的安全防御场景需求,安全产品层出不穷,各大安全厂商也争先推出自家的安全产品/平台,这就导致产品种类繁多,信息量大而杂,本篇博文重点讲解EDR、HIDS、NDR和XDR的区别与联系,与各位共勉。
网络安全产品-EDR产品
wangtd的博客
11-13 709
EDR是一种安全技术,其主要聚焦于监控、检测、调查和对企业网络中的终端设备上的威胁作出响应。这些终端设备包括但不限于个人电脑、服务器以及移动设备。EDR解决方案的核心在于提供对网络终端行为的深入洞察,实时监控和记录终端活动,从而能够识别、调查并响应安全威胁。市场领导者:某些知名公司如赛门铁克、迈克菲、深信服、奇安信、绿盟等长期在EDR市场中占据领导地位。
Tailmon-EDR是一款Linux服务器安全防护软件,旨在帮助企业及个人站长构建网络安全监测与防御体系
06-03
在程序开发和安全开发领域,Tailmon-EDR的运用体现了对安全的重视。开发者可以集成此软件到他们的项目中,以提升产品的安全性能。对于个人用户,即使没有专业的安全知识,也能通过Tailmon-EDR的简单易用界面,轻松...
CrowdStrike:重塑网络安全领域的先锋力量.pdf
07-21
### CrowdStrike:网络安全领域的革新领导者 #### 一、引言 在数字时代,网络安全成为确保企业稳定运营的关键因素。随着网络攻击手段和技术的不断进化,传统安全防护措施往往显得力不从心。在此背景下,...
安全之巅:八款主流杀毒软件横向评测
01-18
对于网上八款主流杀毒软件(瑞星杀毒软件2008、金山毒霸2008、McAfee Internet Security Suite 2008、趋势科技网络安全专家2008、卡巴斯基互联网安全套装7.0单机版、诺顿网络安全特警 2008、江民 KV2008、ESET NOD32)的对比评价。
解读《汽车事件数据记录系统EDR》-试验方法和要求
04-08
综上所述,EDR系统是汽车安全领域的重要组成部分,其试验方法和要求旨在确保在事故中收集到的数据准确、完整,以辅助事故调查,优化车辆设计,提升道路交通安全。各国的法规和标准不断更新和完善,以适应技术的发展...
端点保护的那些事儿__盘点国外流行EDR产品_武志红.pdf
02-03
端点保护(Endpoint Detection and Response,简称EDR)在当前的信息安全领域中扮演着至关重要的角色。随着全球安全形势的日益严峻,EDR产品的热度不减,越来越多的国内外厂商投身于这一领域的研发,以满足企业和...
网络安全产品---态势感知&EDR
嘿嘿嘿
04-16 930
是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。
EDR(端点、端点检测与响应中心、可视化展现)
让学习成为一种习惯
05-27 1767
端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。一些调查结果:EDR解决方案必须能够检测的无文件恶意活动;
网络安全系列-三十四: EDR、NDR、XDR 、HIPS、NIPS、NTA、DPI、DFI、MDR、SOAR、SIEM、SOC、南北流量、东西流量:傻傻分不清楚
penriver的博客
08-29 9381
流量层与主机侧是网络攻击的核心场景和目标。 流量层:网络交互产生的流量及数据,主机侧:硬件、服务器、系统、中间件等。 本文围绕流量层及主机侧的网络安全产品,详细介绍EDR、NDR、XDR 、HIPS、NIPS、NTA、DPI、DFI、南北流量、东西流量这些名词,让你分得清,并熟悉对应的应用场景............
企业终端资产安全防护落地-EDR建设实践与思考
SteveRocket's-Blog
04-23 462
随着企业信息化程度的提高,企业终端资产的数量和重要性也越来越高。然而,终端资产的安全问题也越来越突出,如何保护企业终端资产的安全成为了企业管理者必须面对的问题。在这个背景下,企业终端资产安全防护落地-EDR建设成为了一个热门话题。 EDR(Endpoint Detection and Response)即终端检测和响应,是一种新型的终端安全解决方案。与传统的终端安全解决方案相比,EDR具有更高的安全性和更好的可控性。因此,越来越多的企业开始采用EDR来保护自己的终端资产。
科普文:Linux系统安全加固指南
最新发布
为无为,事无事,味无味。
07-25 1727
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
IPS,EDR是什么
03-12
IPS(入侵防御系统)和EDR(终端检测与响应)是网络安全领域中常见的两种安全解决方案。 IPS(Intrusion Prevention System)即入侵防御系统,是一种用于检测和阻止网络攻击的安全设备或软件。它通过监控网络流量和数据包,识别和阻止恶意行为,包括入侵、漏洞利用、恶意软件等。IPS可以根据预定义的规则集或行为分析算法来检测潜在的攻击,并采取相应的措施来阻止攻击行为,保护网络和系统的安全EDR(Endpoint Detection and Response)即终端检测与响应,是一种用于监控和响应终端设备上的安全事件的解决方案。EDR通过在终端设备上部署代理软件,收集和分析终端设备上的安全事件数据,包括文件操作、进程行为、网络通信等。它可以检测到潜在的恶意活动、异常行为或安全事件,并提供实时响应和调查功能,帮助组织及时发现和应对安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值