[网络安全产品]---EDR

写在前面

前端时间看抖音,刷到周鸿祎介绍360为什么这么厉害,他提到一点就是360是全球第一个提出云查杀概念的公司,相比较传统的基于病毒特征库终端杀毒,360依托积累的庞大的信息数据能有效应对APT攻击。

然后又特意找了一下云查杀的理念,不得不说高瞻远瞩

360安全卫士的云查杀原理介绍[转]_360全盘扫描工作原理-CSDN博客

我认为EDR就是基于这种理念基础上对网络安全架构进行终端防御的。。。。。让威胁始于终端~止与终端~

what

EDR(Endpoint Detection and Response,端点检测和响应),这是一种技术或者说是解决方案,它记录端点上的行为,使用数据分析和基于上下文的信息检测来发现异常和恶意活动,并记录有关恶意活动的数据,使安全团队能够调查和响应事件。

why

虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部

同时基于特征匹配杀毒无法有效抵御新威胁。基于病毒特征库方式进行杀毒, 在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新威胁。

how

数据收集:

端点收集数据(通过在终端部署代理来操收集作系统日志、事件日志、网络流量、文件系统元数据和系统注册表等信息), 数据被传输到中央 EDR 平台进行分析和威胁检测。

数据分析:

为了减轻终端cpu损耗同时加强威胁检测能力,将本该发生在终端上的威胁查杀功能转交给EDR平台(管理中心服务器),利用自身强大的大数据分析能力,通过应用机器学习算法、行为分析、基于规则的分析和关联技术来识别潜在威胁和妥协指标。  

威胁响应:

EDR平台发现终端威胁后,依据事先定义的安全策略,能够提醒安全团队通信下发安全策略,自动断开端点设备,联动触发其他终端EDR来进行威胁扫描。-------这里我觉得和态势感知的过程异曲同工之妙

看华为给的解决方案是---华为智能中小企业防勒索安全解决方案,通过下一代防火墙+沙箱+终端EDR协同联动,为客户构建勒索病毒防御体系。其中终端EDR实时识别感染终端;沙箱实时接收防火墙或EDR上报的文件,进行未知威胁检测;沙箱与防火墙、EDR共享检测结果,在网关及终端实现分钟级威胁阻断。


EDR与EPP区别

EPP(Endpoint Protection Platform,端点保护平台)是指传统的端点安全解决方案,就可以把它简单理解为传统的杀毒软件来实现ips的功能,即终端设备只能基于特征库去应对已知威胁,

而edr通过云平台的分析与检测能发现未知威胁,即在epp基础上增添了APT功能,同时能支持全局安全联动

EDR与XDR区别

XDR(Extended Detection and Response,扩展检测和响应),不仅能对终端设备日志收集,还可以对网络安全设备/网络设备日志、云服务日志、网络流量进行收集,关联多个数据源中的相关事件,以形成完整的上下文信息更有效对安全威胁进行分析。 

至于XDR与态势感知的区别,我觉得他们真的没有太大区别。。。。。。

EDRXDR
定义EDR 专注于监控、检测和响应端点(例如台式机、笔记本电脑、服务器)上的威胁。XDR 通过合并来自多个安全域(例如端点、网络、云服务和应用程序)的数据和上下文来扩展 EDR 的功能。 它提供了跨这些领域更广泛的可见性和关联性。
范围主要关注端点。涵盖多个安全域,包括端点、网络、云服务和应用程序。
提升品牌曝光性提供端点活动、流程和行为的详细可见性。提供跨多个安全层的整体可见性,从而能够关联和分析来自不同来源的事件和威胁。
检测强调使用行为分析、异常检测和机器学习算法进行特定于端点的威胁检测。利用先进的分析和关联技术来检测威胁并识别跨多个域的攻击模式,从而增强检测能力。
响应对端点提供有针对性的响应操作,例如隔离、遏制和补救。跨不同安全域提供协调的响应操作,实现精心策划和自动化的响应操作,以实现更好的遏制和修复。
可扩展性可扩展以处理组织内的大量端点。可扩展以适应多个安全域,使其适合具有复杂和分布式 IT 环境的组织。
认证的益处可有效监控和保护端点、检测端点特定的威胁以及响应各个端点上的事件。通过关联多个安全域的数据,提供更广泛的威胁可见性、更快的检测和响应能力,并改进上下文理解。
限制仅限于以端点为中心的可见性和检测。由于跨多个安全域的集成,实施和管理更加复杂。 需要精心规划的架构和基础设施。
未来趋势可能会与 XDR 平台集成以增强端点功能。预计将通过跨安全域整合高级分析、自动化和编排来进一步发展,以提供统一且全面的安全方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/729760.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

世界是软件定义的 - 正如硬件公司所证明的那样

很难相信,马克安德森(Marc Andressen)在13年前写下了他著名的博客,题为“软件正在吞噬世界”。在这篇文章中,他谈到了现代软件组织对传统企业造成的破坏。 十三年后,即使面对英伟达的平流层估值&#xff0…

openGauss开发者大会、华为云HDC大会举行; PostgreSQL中国技术大会7月杭州开启

重要更新 1. openGauss Developer Day本周五于北京举行,大会聚集了相关行业专家、用户、伙伴和开发者,分享给予openGauss的联合创新成果和实践案例。([2] ) ;华为云 HDC 2024本周五于东莞松山湖举行,主题演讲主要覆盖鸿蒙、AI ([3…

IntelliJ IDEA 2024 mac/win版:编程利器,智慧之选

IntelliJ IDEA 2024是一款由JetBrains精心打造的集成开发环境(IDE),专为Java等编程语言量身打造,同时支持多种其他语言,为开发者提供了卓越的开发体验。 IntelliJ IDEA 2024 mac/win版获取 这款IDE凭借其出色的智能化和高效性,赢…

【Python高级编程】新手小白必须得学会的文本文件操作,资料资源均可分享!

文件读取处理 使用 read(): # 使用 read 方法读取文件的所有内容 with open(resources/training_log.txt, r) as file:content file.read()print(content)# 报错处理版本 # 使用 read 方法读取文件的所有内容 # 使用 utf-8 编码方式打开文件 with open(resources…

车载模块负载基础认识

车载模块负载是指车辆上的各种电子设备和系统,如导航系统、音响系统、空调系统、安全气囊等。这些设备和系统在车辆运行过程中需要消耗一定的电能,以保证其正常工作。车载模块负载的基础认识主要包括以下几个方面: 1. 负载类型:车…

GaussDB关键技术原理:高性能(一)

引言 对数据库性能进行优化是令人激动的,无论是对其进行性能需求分析、性能需求设计、性能问题定个位都是富于变化又充满挑战的工作,本章围绕“数据库性能”进行全面系统化的介绍,首先从数据库在现代软件栈中所处的位置出发,介绍…

vue+echarts ----中国地图 下拉选择省份地图中的省份区域高亮显示以及飞线图的效果

vueecharts ----中国地图 下拉选择省份地图中的省份区域高亮显示以及飞线图的效果 1、父组件核心代码&#xff1a;【/utils/area的详细数据】、【/utils/china详细数据】 <template><div class"center"><div class"digital"><el-se…

canvas实现画布拖拽效果 适配Uniapp和Vue (开箱即用)

需求:我司是做AIGC项目最近和地铁项目有关需要实现海报效果图&#xff0c;并且需要使用画布拖拽和修改上传删除等等功能 当时连续加班花了10个工作日搓出来 实现挺简单的但是Canvas数据处理还是挺麻烦的 大概功能如图下 首先我们需要引入Fabric.js 这个库封装好了原生的Canva…

Apifox 快速入门教程

访问示例项目​ 可访问Apifox官网&#xff0c;下载并打开 Apifox 后&#xff0c;你将会看到由系统自动创建的“示例团队”&#xff0c;其中内含一个“示例项目”。 项目中自动生成了与宠物商店有关的数条接口。 手动新建接口​ 新建接口是开发者们最常用的功能之一。Apifox 能…

硫化物固态电解质在全固态锂电池制造领域发展潜力大

硫化物固态电解质在全固态锂电池制造领域发展潜力大 固态电解质主要包括氧化物、硫化物、聚合物等类型。氧化物固态电解质由于研发难度相对较低&#xff0c;是目前主流技术路线。硫化物固态电解质研发难度较高&#xff0c;但性能优异&#xff0c;特别适合制造全固态锂电池&…

小程序wx.uploadFile异步问题

问题&#xff1a;小程序上传文件后我需要后端返回的一个值&#xff0c;但这个值总是在最后面导致需要这个值的方法总是报错&#xff0c;打印测试后发现这它是异步的。但直接使用 await来等待也不行。 uploadImg.wxml <view class"upload-wrap"><view clas…

黑神话悟空-吉吉国王版本【抢先版】

在中国的游戏市场中&#xff0c;一款名为“黑神话悟空”的游戏引起了广泛的关注。这款游戏以中国传统的神话故事“西游记”为背景&#xff0c;创造了一个令人震撼的虚拟世界。今天&#xff0c;我们要来介绍的是这款游戏的一种特殊版本&#xff0c;那就是吉吉国王版本。 在吉吉国…

邮件推送服务商有哪些核心功能?怎么选择?

邮件推送服务商支持哪些营销工具&#xff1f;推送性能如何评估&#xff1f; 邮件推送服务商的核心功能可以帮助企业更高效地管理和优化其电子邮件营销活动&#xff0c;从而提升客户参与度和转化率。AokSend将详细介绍邮件推送服务商的一些核心功能。 邮件推送服务商&#xff…

鸿蒙仓颉编程语音来了,ArkTs语言危矣?

鸿蒙仓颉编程语言来了&#xff0c;请允许我哭会~~呜呜呜~~我的arkts啊 仓颉编程语言文档地址文档中心 鸿蒙直播大会开始一个小时了&#xff0c;地址华为开发者大会&#xff08;HDC 2024&#xff09;主题演讲 同时api12 不再是秘密了 各位&#xff01;公开啦 api12 公开地址…

如何开启Claude 3的Artifacts功能以及如何注册Claude3

就很突然&#xff0c;Claude 3.5&#xff0c;它来了&#xff01; Anthropic发布3.5系列第一个版本Claude 3.5 Sonnet。在多个关键指标中&#xff0c;GPT-4o几乎被吊打&#xff01; 另外Claude 3.5 Sonnet是免费的&#xff0c;提供了跟gpt-4o一样的次数。更高的速度和次数&…

maxwell源码编译安装部署

目录 1、组件环境 2、maxwell安装前提 3、maxwell安装 3.1、maxwell下载 3.1.1、最新版本下载 ​编辑 3.1.2、历史版本下载 3.2、maxwell安装 3.3、maxwell配置 3.2.1、mysql开启binlog 3.3.2、maxwell元数据配置 3.3.3、maxwell配置任务 4、maxwell部署问题 4.1、utf…

Jenkins macos 下 failed to create dmg 操作不被允许hdiutil: create failed - 操作不被允许?

解决方案&#xff1a; 打开设置&#xff0c;选择“隐私与安全”&#xff0c;选择“完全磁盘访问权限”&#xff0c;点击“”&#xff0c;选择jenkins的路径并添加。 同理&#xff0c;添加java的访问权限。

【Android】记录在自己的AMD处理器无法使用Android studio 虚拟机处理过程

文章目录 问题&#xff1a;无法在AMD平台打开Android studio 虚拟机&#xff0c;已解决平台&#xff1a;AMD 5700g系统&#xff1a;win10专业版1、在 amd平台上使用安卓虚拟机需要安装硬件加速器2、关闭win10上的系统服务 问题&#xff1a;无法在AMD平台打开Android studio 虚拟…

java 八股文最集全网站

弟弟快看-教程&#xff0c;程序员编程资料站 | DDKK.COM

关于微信小程序取消获取用户昵称的一些思考

官方说明&#xff0c;有部分小程序乱用授权&#xff0c;强迫用户提交头像和昵称。 核心是微信担心用户信息被滥用。 其一 &#xff0c;微信头像经常是本人真是照片&#xff0c;在现在人工智能算法的加持下&#xff0c;人脸数据太容易被套取。 其二&#xff0c;微信名称同理&…