网络安全中edr是什么意思

在网络安全中,edr是指“端点检测与响应”,是一种主动式端点安全解决方案,包括实时监控和使用自动威胁响应机制收集端点安全数据;通过记录终端与网络事件,将这些信息本地化存储在端点或者集中在数据库。EDR会集合已知的攻击指示器、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。

EDR 技术工作原理是什么?

一旦安装了 EDR 技术,马上 EDR 就会使用先进的算法分析系统上单个用户的行为,并记住和连接他们的活动。

感知系统中的某个或者特定用户的异常行为,数据会被过滤,防止出现恶意行为的迹象,这些迹象会触发警报然后我们就去确定攻击的真假。

如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。 (关联跟踪)

然后,该技术将所有数据点合并到称为恶意操作 (MalOps) 的窄类别中,使分析人员更容易查看。

在发生真正的攻击事件时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证。如果是误报,则警报关闭,只增加调查记录,不会通知客户

关键词: 网络安全中edr是什么意思 EDR技术工作原理 特定用户