EDR 端点检测与响应
Endpoint Detection and Response —— 装在 [endpoint|端点]上,持续监控 + 能自动响应的安全工具。
比传统杀软强在哪
| 传统杀软 | EDR | |
|---|---|---|
| 检测方式 | 比对已知病毒特征 | 行为分析 + 特征 |
| 对未知威胁 | 基本无效 | 能抓异常行为 |
| 响应 | 删文件 | 隔离主机、回滚、取证 |
| 可见性 | 单点 | 集中看全公司端点 |
跟 HIDS 的关系
EDR 可以看作 HIDS 的商业化升级:不仅检测,还能远程隔离中招的机器、还原攻击链给分析师看。
代表产品:CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne。常把数据喂给 SIEM 统一分析。XDR 是把 EDR 扩展到网络、邮件、云的”全域”版本。