全称为Endpoint Detection and Response的EDR是一种终端设备检测与响应技术。
EDR是公司网络安全方案中不可或缺的一部分,其主要功能是检测网络安全威胁并采取应对措施。因此,EDR主要用于监测、记录、分析和响应针对网络终端的攻击。EDR可以帮助企业从威胁事件中快速恢复,防止数据盗取、网络瘫痪等严重后果。
EDR有以下三个基本原理:
- 集中式数据收集:即所有来自企业内部网络的数据都应该被从终端收集到以进行更细致的分析。
- 威胁检测:包括入侵检测、反病毒检测、行为检测等方法,以及利用机器学习算法进行复杂威胁检测。
- 威胁应对:支持快速响应和自动应对以缓解威胁造成的影响,包括病毒隔离、黑名单禁止、加入威胁情报等。
在目前的网络安全行业中,EDR已经成为网络安全基础设施的重要组成部分。
