端点检测和响应(EDR)是一种端点安全解决方案，包括实时监控和使用自动威胁响应机制收集端点安全数据。端点检测和响应是Gartner提出的一个术语，用于描述一类新兴的安全系统，用于检测和调查主机和端点上的可疑活动，这可以通过利用通知安全团队并实现快速响应的高度自动化来实现。

端点检测和响应系统提供五个主要功能，它们是：

端点检测和响应有什么好处？

端点检测和响应系统已成为现代安全团队的清单项目。EDR以多种关键方式保护数字边界免受已知和不断演变的威胁和安全问题的影响。

监控数据的全面收集使EDR系统能够编译潜在攻击的完整视图。对所有端点（在线和离线）的持续监控简化了分析和事件响应。这可以进行深入的分析和洞察，使专业人员能够了解组织网络的异常和漏洞，从而更好地为未来的网络犯罪事件做好准备。对每个端点威胁的检测都超越了传统的防病毒软件，EDR能够对各种威胁提供实时响应，让安全团队能够实时可视化潜在的攻击和威胁，即使它们正在演变。

这可以通过在发生严重损失或妥协之前在初始阶段切断攻击来防止损失。实时响应还可以让组织发现网络上的可疑或未经授权的行为，在威胁影响运营之前找到威胁的根本原因。EDR系统可以与其他安全工具集成，使来自端点、网络和SIEM的数据相互关联，从而更深入地了解不良行为者试图获得未经授权访问数字资产的做法和技术。

为什么端点检测和响应很重要？

威胁形势不断变化，新病毒、恶意软件和其他网络威胁每天都在出现。为了应对这种不断演变的威胁，实时收集和检测可能的异常变得越来越重要。越来越多的流动劳动力加剧了这些挑战。当员工远程连接时——Covid大流行加速了这种情况，用于访问组织数字资产的端点通常是员工所有的。这些BYOD设备可能由员工的家人共享并在其共享的网络上，因此可能在员工不知情的情况下感染恶意软件。

通过采用EDR，组织可以通过以下方式帮助缓解这些挑战：

EDR还可以与第三方威胁情报服务合作，以提高其端点安全解决方案的有效性，因为它们的集体情报可以提高EDR识别零日攻击和其他多层攻击的能力。许多端点检测和响应解决方案现在正在结合机器学习和人工智能(ML/AI)，通过“学习”组织的基线行为并在检测到攻击时使用该信息来解释结果，从而进一步自动化流程。

端点检测和响应如何工作？

端点检测和响应的工作原理是监控网络和端点上的流量，将可能与安全问题相关的信息收集到中央数据库中以供以后分析，并促进对威胁事件的报告和调查。

并非所有EDR解决方案都是平等的——它们执行的活动范围可能因供应商而异。典型EDR解决方案的关键组件包括：

EDR和防病毒软件之间的区别

EDR解决方案可被视为传统防病毒程序的超集，与较新的EDR解决方案相比，其范围有限。这样，防病毒软件就成为了EDR解决方案的一部分。

防病毒执行基本功能，例如扫描、检测和删除病毒，而EDR执行许多其他功能。除了防病毒之外，EDR还可能包含多种功能，包括监控、白/黑名单等，所有这些都旨在针对已知和新出现的威胁提供更全面的保护。

由于数字网络边界已扩展到任何地方，传统的防病毒软件无法再保护用于访问公司资源的所有各种设备。端点检测和响应系统更适合防御高级网络攻击，而EDR自动响应有助于确保IT团队不会因为试图保护组织免受攻击而超负荷工作。

由于威胁形势的快速演变，这一点变得越来越重要。由于不良行为者正在改进他们的攻击并利用高级威胁进入网络，简单的基于签名的防病毒软件无法及时检测到零日或多层威胁，而EDR系统可以检测到所有类型的端点威胁，提供对已识别的人的实时响应。