什么是EDR(EDR 端点检测和响应))I IBM |
您所在的位置:网站首页 › 终端测试是啥意思啊 › 什么是EDR(EDR 端点检测和响应))I IBM |
EDR 使用高级分析和机器学习算法,在已知威胁或可疑活动发生之前实时识别指示这些活动的模式。 一般来讲,EDR 会查找两种类型的迹象:感染迹象 (IOC)(即与潜在攻击或违规行为一致的操作或事件)以及攻击迹象 (IOA)(即与已知网络威胁或网络犯罪分子相关的行动或事件)。 为了识别这些迹象,EDR 会将自己的终端数据与来自威胁情报服务的数据实时关联,而威胁情报服务会提供关于最新网络威胁的持续更新信息 - 它们使用的策略、它们利用的终端或 IT 基础架构漏洞等等。 威胁情报服务可以是专有服务(由 EDR 提供商运营)、第三方服务或基于社区的服务。 此外,许多 EDR 解决方案还将数据映射到 Mitre ATT&CK,后者是一个由美国政府资助的、可免费访问的全球黑客网络威胁策略和技术知识库。 EDR 分析和算法还可以自行执行侦查,将实时数据与历史数据和已建立的基线进行比较,确定出可疑的活动、异常的最终用户活动以及任何可能指示网络安全事件或威胁的内容。 这些算法还可以将"信号"或合法威胁与误报的"噪音"区分开来,以便安全分析师可以专注于重要的事件。 许多公司都将 EDR 与 SIEM(安全信息和事件管理)解决方案集成在一起,该解决方案可收集 IT 基础架构各个层的安全相关信息 - 不仅是终端,还有应用、数据库、Web 浏览器、网络硬件等。 SIEM 数据可以通过附加上下文来丰富 EDR 分析,以便识别威胁、划分威胁的优先级、调查并修复威胁。 EDR 在中央管理控制台(也用作解决方案的用户界面 (UI))中汇总重要数据和分析结果。 通过这个控制台,安全团队成员可以全面了解企业范围内的每个终端及终端安全问题,并启动涉及任何和所有终端的调查、威胁响应和补救措施。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |