端點偵測和回應 (EDR) 是指用於偵測和調查端點裝置上的威脅的工具。 EDR 工具提供偵測、分析、調查和回應功能。

隨著端點成為對手更容易攻擊的目標，EDR 已成為關鍵的端點安全工具。隨著物聯網等趨勢以及行動和遠端工作者的增加，端點已成為網路犯罪分子對個人或組織發動複雜攻擊的熱門切入點。點擊選項卡可以獲得有關 EDR 三個關鍵組件的更多資訊。

偵測

EDR 工具監控端點代理程式產生的事件以尋找可疑活動。 EDR 工具建立的警報可協助安全操作分析師識別、調查和補救問題。

EDR 的主要偵測功能包括：

• 端點資料聚合
• 惡意軟體分析
• 行為分析，即連結一系列看似良性的事件以發現可疑行為的能力
• 資料關聯與豐富
• 相關警報與事件的關聯
• 根據事件的可信度和嚴重程度來決定優先順序

調查

EDR 工具收集可疑活動的遙測數據，並可能利用相關事件的其他背景資訊來豐富這些數據。

EDR 的主要調查能力包括：

• 查詢跨多個網路安全工具的活動，包括訊息傳遞、網路、端點和網路。
• 調查工具提供與票務系統整合的警報管理工作流程，以便分配、轉移、註釋和解決事件
• 點擊式攻擊鏈視覺化工具可協助調查人員進行調整

回覆

EDR 透過偵測和調查功能有助於縮短事件回應團隊的回應時間。

EDR 的主要反應功能包括：

• 使用沙箱進行自動化整合分析
• 補救措施，包括網路隔離、檔案隔離、檔案刪除、重新映像、進程終止和行為阻止
• 根據策略或預定義劇本自動執行回應和補救工作流程

端點安全性策略

幾十年來，組織一直嚴重依賴防毒程序來保護端點安全。然而，傳統的防毒程式已無法防禦當今複雜的威脅。

以下是端點安全性策略：

現代化端點安全

現代端點安全解決方案更注重行為而不是簽名。它們包含更廣泛的功能，例如防毒、漏洞保護、EDR、分析和設備控制。

企業端點安全

企業端點安全策略將 EPP 和 EDR 解決方案與雲端和網路安全工具（例如網路流量分析 (NTA)）相結合，以了解越來越多「未託管」的網路連接設備（意味著它們沒有或無法安裝端點代理程式），例如許多物聯網設備。

全面的端點安全

最強大、最全面的端點安全解決方案（通常包含在 XDR 類別中）可以集中收集和關聯這些數據，並對各個端點執行本地分析。

進階端點安全

先進的端點安全解決方案應防止已知和未知的惡意軟體和漏洞，結合自動化以減輕安全團隊的工作量，並在不影響系統效能的情況下保護和支援使用者。

Endpoint and Detect Response