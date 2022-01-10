EDR 使用高级分析和机器学习算法来实时识别用于表明已知威胁或可疑活动的相关模式。

一般来说，EDR 会寻找两类指标：其一为入侵指标 (IOC)，它们是指与潜在攻击或泄露事件相一致的操作或事件；另一个则是攻击指标 (IOA)，它们是指与已知网络威胁或网络罪犯相关的操作或事件。



为识别这些指标，EDR 会将其自己的端点数据与来自威胁情报服务的数据实时关联起来，而这些服务会提供有关新网络威胁和近期网络威胁的持续更新信息（这些网络威胁采用的计策、它们利用的端点或 IT 基础设施漏洞等等）。威胁情报服务的形式包括：专有（由 EDR 提供商运营）、第三方或基于社区。此外，很多 EDR 解决方案还将数据映射到 MITRE ATT&CK，这是一个可免费访问且由美国政府提供支持的全球知识库，其中包含黑客们所采用的网络威胁计策和技术。



EDR 分析和算法也可自行进行侦查，从而将实时数据与历史数据和既定基线进行比较，以识别可疑活动、最终用户异常活动以及任何可能表明出现网络安全事件或威胁的内容。此外，它们还可以将“信号”（或称“合法威胁”）与误报的“噪音”区分开来，这样安全分析师便可专注于重要事件。



很多公司将 EDR 与 SIEM（安全信息和事件管理）解决方案相结合，而该解决方案可收集 IT 基础设施中各层（不仅包括端点，还包括应用程序、数据库、Web 浏览器、网络硬件等）的安全相关信息。SIEM 数据可通过额外的情境来丰富 EDR 分析，以便识别威胁、确定威胁优先级、调查威胁并对其进行修复。



EDR 会在中央管理控制台中汇总重要数据和分析结果，而该控制台也会用作该解决方案的用户界面 (UI)。通过该控制台，安全团队成员可全面了解企业范围内的每个端点和端点安全问题，并启动涉及任意和所有端点的调查、威胁响应和修复。