端点检测和响应（EDR）是一种技术形式，可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应
EDR 是端点安全的一个子集，当员工通过笔记本电脑、智能手机和其他移动设备远程访问网络时，它采用整体方法来保护企业网络和数据
由于这些资产位于将用户连接到公司技术堆栈的链的末端，因此它们被称为端点
端点安全和 EDR 之间有什么区别？端点安全保护企业网络上的每个端点免受漏洞、黑客攻击和其他网络安全威胁
端点安全负责确保端点设备和企业网络的整体安全
端点检测和响应特别关注安全人员用于识别、调查和解决可能危害多个端点的高级威胁和复杂网络攻击的框架
什么是端点检测和响应 (EDR)？端点检测和响应是高级威胁感知和预防，旨在减轻来自端点设备的危险
EDR 工具旨在跟踪端点诊断（日志、软件下载、可能的恶意代码）并提供详细信息，帮助安全团队识别、诊断和解决危害端点设备的安全威胁
这些威胁包括：使用未受保护的 Wi-Fi 网络，攻击者可以在其中监视互联网会话设备丢失或被盗网络钓鱼活动和相应的恶意软件弱密码（或根本没有密码）缺乏对公司数据的控制EDR 比端点保护更进一步，端点保护已不足以满足企业网络保护：它既是主动性的，也是防御性的
EDR 平台会自动修复威胁并向安全管理员发出警报，安全管理员可以执行手动修复任务并在攻击发生时停止攻击
这些威胁和攻击包括滥用凭据、数据库泄露和勒索软件
EDR 的历史端点检测和响应是 IT 世界中相对较新的技术和主题：直到 20 世纪 90 年代，企业才可以使用互联网
安全提供商在 2000 年代开始提供以端点为中心的解决方案
端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013 年创造的，他写道：“这个名称反映了端点（相对于网络）、威胁（相对于恶意软件和官方宣布的事件）和工具“主要用于检测和事件响应”该术语于 2015 年更改为 EDR
EDR 满足了随着端点驱动的劳动力的出现而迅速发展的需求：企业突然需要为其系统和网络提供安全性，而这些系统和网络在 2000 年代初出现的大量网络攻击中苦苦挣扎
这对于大部分远程团队来说尤其重要，这些团队在 COVID-19 大流行期间显着增加
端点检测和响应如何工作？端点检测和响应平台执行以下关键功能：收集有关流量、磁盘和内存信息、登录以及帐户活动的端点和网络数据为安全团队提供文件和事件日志当系统检测到异常或攻击时向安全运营中心 (SOC) 和安全分析师发出警报分析收集的端点和网络数据，以便企业可以查看异常和正常流量的模式执行补救任务，例如终止进程、阻止应用程序或运行脚本来阻止恶意行为允许安全团队查看文件、事件日志、网络连接和配置EDR 解决方案生命周期中的简化一天威胁行为者（例如恶意软件或勒索软件）以企业的一个端点为目标
收集端点数据并将其发送到企业的数据湖或云数据库进行分析
先进的大数据分析揭示了当天端点流量的异常模式
警报会自动发送给安全或 DevSecOps 团队
EDR 平台执行以下两项操作之一：自动修复威胁
允许安全团队手动处理威胁
威胁行为者的行为存储在数据库中，以便系统记住恶意模式的样子，并用它来评估未来的威胁
为什么 EDR 很重要？当前基于端点的员工需要能够应对网络和设备复杂威胁的安全性
EDR 填补了安全方法中的一个漏洞，因为它不仅仅是预防：最好的 EDR 解决方案能够在攻击发生后阻止攻击或减轻其影响
端点是企业的主要安全风险，使用它们的员工也是如此
员工不仅有时会做出糟糕的密码和设备管理选择，而且还成为抵御网络钓鱼攻击的最大弱点
EDR 通过收集重要数据并使用它来阻止攻击和破坏，帮助降低端点设备和网络受损的高风险