Skip to main content

EDR

在网络安全领域,EDR 的全称是 Endpoint Detection and Response,即“终端检测与响应”。EDR 不仅仅是看某个文件是否有毒,它关注的是终端(服务器、笔记本、工作站)上发生的所有行为

  • 持续监测(Detection):它会记录进程启动、内存加载、注册表修改、网络连接等行为。即便是一个看似正常的软件,如果它突然开始扫描内网,EDR 也能识别出这种异常。
  • 行为分析(Analytics):利用 AI 和威胁情报,识别复杂的攻击手段(如无文件攻击、勒索软件探测等)。
  • 实时响应(Response):一旦发现攻击,EDR 可以自动执行动作,比如:
    • 隔离主机:断开该主机的网络,防止病毒扩散。
    • 结束进程:直接杀掉恶意程序的运行。
    • 文件回滚:撤销勒索软件对文件的加密动作。
  • 调查与溯源(Investigation):它能像“黑匣子”一样重放攻击过程,告诉管理员攻击者是从哪进来的、动了哪些文件。