什么是EDR（EDR 端点检测和响应））I IBM

EDR 使用高级分析和机器学习算法，在已知威胁或可疑活动发生之前实时识别指示这些活动的模式。 

一般来讲，EDR 会查找两种类型的迹象：感染迹象 (IOC)（即与潜在攻击或违规行为一致的操作或事件）以及攻击迹象 (IOA)（即与已知网络威胁或网络犯罪分子相关的行动或事件）。 

为了识别这些迹象，EDR 会将自己的终端数据与来自威胁情报服务的数据实时关联，而威胁情报服务会提供关于最新网络威胁的持续更新信息 - 它们使用的策略、它们利用的终端或 IT 基础架构漏洞等等。 威胁情报服务可以是专有服务（由 EDR 提供商运营）、第三方服务或基于社区的服务。 此外，许多 EDR 解决方案还将数据映射到 Mitre ATT&CK，后者是一个由美国政府资助的、可免费访问的全球黑客网络威胁策略和技术知识库。

EDR 分析和算法还可以自行执行侦查，将实时数据与历史数据和已建立的基线进行比较，确定出可疑的活动、异常的最终用户活动以及任何可能指示网络安全事件或威胁的内容。 这些算法还可以将"信号"或合法威胁与误报的"噪音"区分开来，以便安全分析师可以专注于重要的事件。

许多公司都将 EDR 与 SIEM（安全信息和事件管理）解决方案集成在一起，该解决方案可收集 IT 基础架构各个层的安全相关信息 - 不仅是终端，还有应用、数据库、Web 浏览器、网络硬件等。 SIEM 数据可以通过附加上下文来丰富 EDR 分析，以便识别威胁、划分威胁的优先级、调查并修复威胁。

EDR 在中央管理控制台（也用作解决方案的用户界面 (UI)）中汇总重要数据和分析结果。 通过这个控制台，安全团队成员可以全面了解企业范围内的每个终端及终端安全问题，并启动涉及任何和所有终端的调查、威胁响应和补救措施。