网络安全中edr是什么意思
本教程操作环境:windows7系统、Dell G3电脑。端点检测与响应(Endpoint Detection & Response,EDR)是一种主动式端点安全解决方案,通过记录终端与网络事件,将这些信息本地化存储在端点或者集中在数据库。EDR 会集合已知的攻击指示器、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
能力
预测:risk assessment(风险评估);anticipate threats(预测威胁);baseline security posture(基线安全态势)。
防护:harden systems(强化系统);isolate system(隔离系统);prevent attacks(防止攻击)。
检测:detect incidents(检测事件);confirm and prioritize risk(确认风险并确定优先顺序)。contain incidents(包含事件)。
响应:remediate(补救);design policy change(设计规则变更);investigate incidents(调查事件)。
安全模型
相比于传端点安全防护采用预设安全策略的静态防御技术,EDR 加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:
1、资产发现
定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。
2、系统加固
需要定期进行漏洞扫描,打补丁、对安全策略进行更新和进一步细化,通过白名单现在未授权的软件进行运行,通过防火墙限制为授权就开启服务器端口和服务,最好能定期检查和修改清理内部人员的账号和密码还有授权信息。
3、威胁检测
通过端点本地的主机入侵检测进行异常行为分析,针对各类安全威胁,在其发生之前、发生中、和发生后作出相应的防护和检测行为。
4、响应取证
针对全网的安全威胁进行可视化展示,对威胁自动化地进行隔离、修复和抢救,降低事件响应和取证的门槛,这样就不需要依赖于外部专家就可以完成应急响应和取证分析。
功能
调查安全事件;
将端点修复为预感染状态;
检测安全事件;
包含终端事件;
工作原理
一旦安装了 EDR 技术,马上 EDR 就会使用先进的算法分析系统上单个用户的行为,并记住和连接他们的活动。
感知系统中的某个或者特定用户的异常行为,数据会被过滤,防止出现恶意行为的迹象,这些迹象会触发警报然后我们就去确定攻击的真假。
如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。 (关联跟踪)
然后,该技术将所有数据点合并到称为恶意操作 (MalOps) 的窄类别中,使分析人员更容易查看。
在发生真正的攻击事件时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证。如果是误报,则警报关闭,只增加调查记录,不会通知客户
体系框架
EDR 的核心在于:一方面,利用已有的黑名单和基于病毒特征的端点静态防御技术来阻止已知威胁。另一方面,通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的各类安全威胁。同时,基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应,并进行自动化阻止、取证、补救和溯源,从而有效地对端点进行安全防护。
EDR 包括:端点、端点检测与响应中心、可视化展现三个部分,体系框架如图所示:
端点:在 EDR 中,端点只具备信息上报、安全加固、行为监控、活动文件监控、快速响应和安全取证等基本功能,负责向端点检测与响应中心上报端点的运行信息,同时执行下发的安全策略和响应、取证指令等。
端点检测与响应中心:由资产发现、安全加固、威胁检测、响应取证等中心组成。
可视化:展现针对各类端点安全威胁提供实时的可视性、可控性,降低发现和处置安全威胁的复杂度,辅助用户更加快速、智能地应对安全威胁。
检测威胁类型
恶意软件 (犯罪软件、勒索软件等)
无文件型攻击
滥用合法应用程序
可疑的用户活动和行为
要素类型和收集类型
EDR 是独一无二的,因为它的算法不仅可以检测和打击威胁,还可以简化警报和攻击数据的管理。 使用行为分析来实时分析用户活动,可以在不干扰端点的情况下立即检测潜在威胁。 它通过将攻击数据合并到可以分析的事件中,与防病毒和其他工具一起使用可以为你提供一个安全的网络,从而增强了取证分析的能力。
端点检测和响应通过安装在端点上的传感器运行而不需要重新启动。 所有这些数据被拼接在一起,形成了一个完整的端点活动图,无论设备位于何处。
主要技术
智能沙箱技术
针对可疑代码进行动态行为分析的关键技术,通过模拟各类虚拟资源,创建严格受控和高度隔离的程序运行环境,运行并提取可疑代码运行过程中的行为信息,实现对未知恶意代码的快速识别。
机器学习技术
是一门多学科交叉知识,是人工智能领域的核心,专门研究计算机如何模拟实现人类的学习行为,通过获取新的技能知识重组已有的知识体系,并不断完善自身性能。在大规模数掘处理中,可以自动分析获得规律,然后利用这些规律预测未知的数据。
数字取证技术
数字取证是指对具有足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的数字证据,进行确认、保护、提取和归档的过程。在 EDR 中,数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术,自动定位和采集端点人侵电子证据,降低取证分析的技术门槛,提高取证效率及其分析结果的准确性,为端点安全事件调查、打击网络犯罪提供技术支持。
EDR 优缺点
优点
EDR 具有精准识别攻击的先天优势。端点是攻防对抗的主战场,通过 EDR 在端点上实施防御能够更加全面地搜集安全数据,精准地识别安全威胁,准确判定安全攻击是否成功,准确还原安全事件发生过程。
EDR 完整覆盖端点安全防御全生命周期。对于各类安全威胁事件,EDR 在其发生前、发生中、发生后均能够进行相应的安全检测和响应动作。安全事件发生前,实时主动采集端 安全数据和针对性地进行安全加固;安全事件发生时,通过异常行为检测、智能沙箱分析等各类安全引擎,主动发现和阻止安全威胁;安全事件发生后,通过端点数据追踪溯源。
EDR 能够兼容各类网络架构。EDR 能够广泛适应传统计算机网络、云计算、边缘计算等各类网络架构,能够适用于各种类型的端点,且不受网络和数据加密的影响。
EDR 辅助管理员智能化应对安全威胁。EDR 对安全威胁的发现、隔离、修复、补救、调查、分析和取证等一系列工作均可自动化完成,大大降低了发现和处置安全威胁的复杂度,能够辅助用户更加快速、智能地应对安全威胁。
缺点
EDR 的局限性在于并不能完全取代现有的端点安全防御技术。EDR 与防病毒、主机防火墙、主机入侵检测、补丁加固、外设管控、软件白名单等传统端点安全防御技术属于互补关系,并不是取代关系。
技术前提
要想使用或者更好的的理解 EDR 就需要对一些知识有了解,这样才能更好地的使用和理解 EDR 的原理和使用方法。
熟悉 Linux 环境,python 或 shell,Java;
熟悉 hadoop,spark 等大数据组件;
熟悉数据挖掘与分析(比如进行风险等级划分),数据统计技术(比如一些置信度的计算),机器学习技术(分类检测等),深度学习技术,大数据分析技术(主要是关联分析),漏斗分析法等。
熟悉 mysql 或 nosql 数据库,集中存储的数据库,分布式存储的数据库。
一、背景概述
EDR的背景主要是由于网络安全威胁的不断演变和升级,使得传统的安全防御措施已经不能满足企业的安全需求。传统的安全防御主要包括边界安全、防火墙和入侵检测系统 (IDS)。然而,随着网络攻击方式的不断升级,这些传统的安全防御已经无法有效检测和应对各种复杂的网络攻击。
终端设备成为企业网络安全的薄弱环节,是攻击者的主要目标。传统安全防御通常无法检测到这些攻击,因为攻击者使用越来越复杂的技术和工具来绕过传统的安全防御。因此,组织需要更高效、更全面的安全解决方案来保护端点设备。EDR技术就是为了解决这个问题而创建的,它使用先进的威胁情报、机器学习和行为分析来识别和响应终端设备上的安全威胁,提供更全面、更敏感、更智能的安全防御解决方案。EDR技术的应用使企业能够更全面地了解终端设备的状态,识别和应对各种复杂的网络威胁,提高企业网络安全水平。
二、技术原理
EDR是一种针对终端设备的安全解决方案,主要用于检测和响应网络攻击。其技术原理如下:
数据采集:EDR收集终端设备上的各种数据,如系统日志、进程、文件、注册表、网络连接等,形成完整的设备画像。
数据分析:通过分析收集的数据,EDR 可以识别异常活动,例如恶意代码的行为、攻击者使用的工具和技术等。
威胁检测:EDR 使用威胁情报和机器学习技术来检测已知和未知威胁。此外,EDR使用行为分析技术来识别不符合正常行为模式的活动。
恶意代码分析:当 EDR 检测到可疑活动时,它会尝试分析恶意代码的行为和用途,并确定是否需要响应操作。
响应措施:EDR可以采取多种响应措施,如隔离受感染的设备、终止恶意进程、清理恶意文件等,以便快速响应和限制攻击。
目标不同:传统防病毒软件的主要目标是检测和删除已知的病毒和恶意软件。EDR 的目标是检测和响应新的未知网络攻击。
数据收集范围:传统的防病毒软件侧重于特定的传输方法,如文件、电子邮件和下载,而 EDR 可以收集更全面的端点数据,包括进程、注册表、系统日志、网络连接等。
数据分析能力:传统的防病毒软件通常使用基于签名的检测来识别已知的恶意软件。另一方面,EDR 利用机器学习、行为分析和威胁情报等技术来识别更广泛的威胁,并可以发现攻击的多个组成部分,以帮助进行更深入的调查和响应。
响应能力:虽然传统的防病毒软件通常只提供恶意软件清除功能,但EDR可以采取更多的对策,如隔离设备、终止进程、清理文件等,并提供更详细的响应建议和指导。
部署方式:传统的防病毒软件通常在终端设备上运行,而EDR可以部署在云端或本地,支持多种设备和操作系统,以更好地适应企业的安全需求。
总之,EDR的技术原理是通过采集、分析和响应终端设备上的数据来保护网络安全。
三、EDR与传统杀毒软件的区别
传统杀毒软件和EDR都是网络安全解决方案,但它们之间存在一些区别。
综上所述,EDR在安全功能、数据收集、分析和响应能力方面与传统的杀毒软件不同,EDR更适合面对更复杂、更动态的网络威胁。
绛旓細EDR锛圗ndpoint Detection and Response锛绔偣妫娴嬩笌鍝嶅簲锛夋槸缃戠粶瀹夊叏棰嗗煙鐨勪竴涓湳璇紝瀹冩寚鐨勬槸涓绉嶆妧鏈墜娈锛屾棬鍦ㄧ洃鎺с佹娴嬪拰鍝嶅簲浣嶄簬璁$畻鏈虹鐐癸紙渚嬪妗岄潰鐢佃剳銆佺瑪璁版湰鐢佃剳銆佹湇鍔″櫒绛夛級鐨勬綔鍦ㄥ▉鑳佸拰鎭舵剰娲诲姩銆侲DR瑙e喅鏂规閫氳繃鎼滈泦骞跺垎鏋愮鐐规暟鎹紝瀵瑰紓甯歌涓恒佹綔鍦ㄦ敾鍑诲拰婕忔礊鍒╃敤杩涜璇嗗埆銆侲DR鐨勪富瑕佸姛鑳藉拰宸ヤ綔...
绛旓細EDR鏄疎ndpoint Detection and Response鐨勭缉鍐欙紝鎰忎负绔偣妫娴嬩笌鍝嶅簲銆傚畠鏄竴绉嶅畨鍏ㄨВ鍐虫柟妗锛岀敤浜庡疄鏃剁洃鎺с佹娴嬪苟搴斿缃戠粶鏀诲嚮锛岀壒鍒槸鍦ㄤ紒涓氱綉缁滅幆澧冧腑銆侲DR鐨勬牳蹇冨姛鑳芥槸瀵逛紒涓氱綉缁滀腑鐨勫悇涓鐐硅繘琛屾寔缁殑瀹夊叏鐩戞帶銆傝繖浜涚鐐瑰彲鑳藉寘鎷憳宸ョ殑宸ヤ綔鐢佃剳銆佹湇鍔″櫒銆佺Щ鍔ㄨ澶囦互鍙婂叾浠栬仈缃戣澶囥傞氳繃閮ㄧ讲EDR瑙e喅鏂规锛屼紒涓...
绛旓細EDR锛圗ndpoint Detection and Response锛绔偣妫娴嬩笌鍝嶅簲锛夋槸涓绉嶇綉缁滃畨鍏ㄨВ鍐虫柟妗锛屼笓娉ㄤ簬鐩戞帶銆佹娴嬪拰鍝嶅簲璁$畻鏈虹鐐癸紙濡傛闈㈣绠楁満銆佺瑪璁版湰鐢佃剳銆佹湇鍔″櫒绛夛級涓婄殑娼滃湪濞佽儊鍜屾伓鎰忔椿鍔ㄣ侲DR绯荤粺閫氳繃鏀堕泦鍜屽垎鏋愮鐐规暟鎹潵鍙戠幇寮傚父琛屼负銆佹綔鍦ㄦ敾鍑诲拰婕忔礊鍒╃敤銆侲DR鐨勪富瑕佸姛鑳藉拰宸ヤ綔娴佺▼1.鏁版嵁鏀堕泦锛欵DR绯荤粺浠庤澶囩鐐规敹...
绛旓細鍦 EDR 涓,鏁板瓧鍙栬瘉瑕佸厠鏈嶄簯璁$畻鐜鍙栬瘉銆佹櫤鑳界粓绔彇璇併佸ぇ鏁版嵁鍙栬瘉绛夊叧閿妧鏈,鑷姩瀹氫綅鍜岄噰闆嗙鐐逛汉渚电數瀛愯瘉鎹,闄嶄綆鍙栬瘉鍒嗘瀽鐨勬妧鏈棬妲,鎻愰珮鍙栬瘉鏁堢巼鍙婂叾鍒嗘瀽缁撴灉鐨勫噯纭,涓虹鐐瑰畨鍏ㄤ簨浠惰皟鏌ャ佹墦鍑荤綉缁滅姱缃彁渚涙妧鏈敮鎸併 EDR 浼樼己鐐 浼樼偣 EDR 鍏锋湁绮惧噯璇嗗埆鏀诲嚮鐨勫厛澶╀紭鍔裤傜鐐规槸鏀婚槻瀵规姉鐨勪富鎴樺満,閫氳繃 EDR 鍦ㄧ鐐...
绛旓細EDR锛屽嵆Endpoint Detection and Response锛鏄竴绉嶅畨鍏ㄨВ鍐虫柟妗堬紝瀹冧笓娉ㄤ簬鐩戞帶鍜屼繚鎶や紒涓氱綉缁滀腑鐨勭粓绔澶囷紝浠ユ娴嬪拰鍝嶅簲鍚勭瀹夊叏濞佽儊銆傚湪鐜颁唬浼佷笟涓紝缁堢璁惧濡傜數鑴戙佹湇鍔″櫒銆佺Щ鍔ㄨ澶囩瓑锛岀粡甯告垚涓虹綉缁滄敾鍑荤殑涓昏鐩爣銆傛敾鍑昏呭彲鑳戒細鍒╃敤杩欎簺璁惧涓殑婕忔礊鎴栫敤鎴风殑涓嶆厧鎿嶄綔锛屾潵绐冨彇鏁忔劅淇℃伅銆侀儴缃叉伓鎰忚蒋浠舵垨杩涜...
绛旓細EDR锛濞佽儊妫娴嬩笌鍝嶅簲锛夋槸涓绉嶇綉缁滃畨鍏ㄦ妧鏈紝鐢ㄤ簬妫娴嬪拰搴斿楂樼骇濞佽儊鍜屾敾鍑汇侲DR鐨勫ソ澶勬湁濞佽儊妫娴嬨佸▉鑳佸搷搴斻佷簨浠跺垎鏋愮瓑銆1銆佸▉鑳佹娴 EDR鑳藉瀹炴椂鐩戞祴骞舵娴嬬郴缁熷唴鐨勫紓甯告椿鍔ㄥ拰濞佽儊琛屼负锛屽寘鎷伓鎰忚蒋浠躲佹湭鐭ョ殑鏀诲嚮鍜屽紓甯哥綉缁滆涓恒傚畠鍙互杩借釜鍜屽垎鏋愭伓鎰忎唬鐮併佺綉缁滆繛鎺ュ拰绯荤粺杩涚▼锛屽苟鍙婃椂鍙戠幇鍜岄樆姝㈠▉鑳併2銆...
绛旓細EDR缁跨洘鏄寚缁跨洘绉戞妧鍏徃鐨勭粓绔瀹夊叏杞欢浜у搧锛岃浜у搧涓昏鏄负浜嗗府鍔╀紒涓氭彁楂樺叾缃戠粶缁堢瀹夊叏鎬с侲DR鐨勫叏绉版槸Endpoint Detection and Response锛屽畠鍙互瀹炴椂妫娴嬬綉缁滅粓绔殑鎸栨帢銆佹敾鍑汇佹伓鎰忎唬鐮佺瓑寮傚父琛屼负锛屽瀹夊叏濞佽儊杩涜鍒嗘瀽銆佸憡璀﹀拰鍥炲簲銆侲DR缁跨洘鐨勪富瑕佸姛鑳界壒鎬у寘鎷細瀹炴椂妫娴嬬綉缁滅粓绔殑鎸栨帢銆佹敾鍑汇佹伓鎰忎唬鐮佺瓑寮傚父...
绛旓細EDR鍗矱nhanceddatarate锛屾槸钃濈墮鎶鏈腑澧炲己閫熺巼鐨勭缉鍐欙紝鍏剁壒鑹叉槸澶уぇ鎻愰珮浜嗚摑鐗欐妧鏈殑鏁版嵁浼犺緭閫熺巼锛岃揪鍒颁簡2.1Mbps锛屾槸鐩墠钃濈墮鎶鏈殑涓夊嶃備富瑕佷紭鍔匡細鍥犳闄や簡鍙幏寰楁洿绋冲畾鐨勯煶棰戞祦浼犻佺殑鏇翠綆鐨勮楃數閲忎箣澶栵紝杩樺彲鍏呭垎鍒╃敤甯﹀浼樺娍鍚屾椂杩炴帴澶氫釜钃濈墮璁惧锛岀洰鍓嶈濡傚鏅揪710绛夋墜鏈哄凡缁忓紑濮嬫敮鎸佽摑鐗橢DR鎶鏈
绛旓細EDR锛氭繁搴︽帰绱㈢粓绔畨鍏ㄧ殑鏈潵瀹堟姢鑰 闅忕潃缃戠粶瀹夊叏濞佽儊鐨勬棩鐩婂鏉傦紝EDR锛圗ndpoint Detection and Response锛変綔涓轰竴绉嶅厛杩涚殑瀹夊叏瑙e喅鏂规搴旇繍鑰岀敓銆傚畠骞堕潪鍋剁劧锛岃屾槸婧愯嚜浜嶦PP锛圗ndpoint Protection Platform锛夎繖涓鍩虹瀹夊叏妗嗘灦锛岄氳繃鎸佺画鐨勮繘鍖栵紝EDR鍦ㄦ妧鏈笂瀹炵幇浜嗛璺冦傛渶鍒濓紝EDR鐨勬牳蹇冩槸鍩轰簬浼犵粺鏉姣掓妧鏈紝浣嗛殢鐫...
绛旓細鍦缃戠粶瀹夊叏棰嗗煙銆EDR(Event Data Recorder)绉颁负“缁堢妫娴嬩笌鍝嶅簲”锛屾槸涓绉嶉拡瀵硅绠楁満缁堢璁惧鐨勫畨鍏ㄦ妧鏈傚畠鏃ㄥ湪瀹炴椂鐩戞帶绔偣璁惧娲诲姩锛屼娇鐢ㄨ涓哄垎鏋愩佺鍚嶅尮閰嶃佹満鍣ㄥ涔犵瓑鎶鏈娴嬫綔鍦ㄥ▉鑳侊紝骞跺揩閫熷搷搴斾互闃绘鏀诲嚮銆侲DR鎶鏈氬父鍖呮嫭鏀堕泦銆佸瓨鍌ㄥ拰鍒嗘瀽缁堢璁惧涓婄殑鏃ュ織鍜屼簨浠讹紝浠ヤ究杩涜鍚庣画鐨勫畨鍏ㄨ皟鏌...
