端点检测与响应(Endpoint Detection & Response,EDR)是一种主动式端点安全解决方案,通过记录终端与网络事件,将这些信息本地化存储在端点或者集中在数据库。EDR 会集合已知的攻击指示器、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
能力
-
预测:risk assessment(风险评估);anticipate threats(预测威胁);baseline security posture(基线安全态势)。
-
防护:harden systems(强化系统);isolate system(隔离系统);prevent attacks(防止攻击)。
-
检测:detect incidents(检测事件);confirm and prioritize risk(确认风险并确定优先顺序)。contain incidents(包含事件)。
-
响应:remediate(补救);design policy change(设计规则变更);investigate incidents(调查事件)