08终端检测与响应（EDR）

## 概述

终端检测与响应（Endpoint Detection and Response ） 是一种专注于终端（如台式机、笔记本、服务器）的高级安全解决方案。它通过持续监控终端上的深度活动数据，使用行为分析和威胁情报，来发现、调查、并消除那些绕过传统防病毒软件的高级威胁。

EDR 的核心价值在于提供了 “可见性” 和 “响应能力” 。它不再仅仅依赖已知的病毒特征，而是关注终端上 “正在发生什么” ，并能对发现的威胁做出快速处置。

> 比喻

传统杀毒软件 像一位只认识通缉犯照片的门卫（特征码匹配），对于伪装过的或陌生的罪犯无能为力。

EDR 则像一位安插在终端内部的侦探，它不仅记录每个人的一举一动（进程、网络连接、文件操作），还能通过分析行为模式（如某人深夜潜入机房、试图打开保险柜）来识别出潜伏的间谍和高级威胁，并亲自出手将其制服。

## 功能

### **深度数据采集与可见性**

EDR 代理在终端上持续收集极其细粒度的数据，包括：

- 进程活动：进程创建、父子进程关系、命令行参数。
- 文件活动：文件创建、修改、删除（尤其是勒索软件行为）。
- 网络连接：所有入站和出站的网络连接、远程IP和端口。
- 注册表修改：Windows系统关键配置的变更。
- 用户登录：登录和登出活动。
- 内存活动：检测基于内存的攻击和无文件攻击。
- PowerShell 脚本：记录和解析 PowerShell 命令的执行内容。

### **行为检测与分析**

这是 EDR 的大脑，它利用多种技术分析采集到的数据：

- 机器学习/AI：建立正常行为基线，识别偏离基线的异常活动。
- 攻击行为关联：将孤立的低级事件（如“进程A启动了进程B”，“进程B尝试连接恶意IP”）关联起来，形成高级别的攻击故事线。
- 威胁情报匹配：与云端威胁情报库联动，快速识别与已知恶意域名、IP、文件哈希的通信。

### **威胁狩猎**

EDR 平台为安全分析师提供了主动寻找潜伏威胁的工具，而不仅仅是等待警报。分析师可以跨所有终端进行查询，例如：“找出所有创建了计划任务的 `regsvr32.exe` 进程”。

### **快速响应与遏制**

这是 EDR “响应”能力的体现，也是其区别于早期检测产品的地方：

- 进程终止：立即杀死被识别的恶意进程。
- 文件隔离/删除：隔离或清除恶意文件。
- 主机隔离：将受感染的终端从网络中隔离，防止威胁横向移动。
- 脚本执行：远程在终端上执行调查或修复脚本。

### **攻击链可视化与取证**

当警报触发时，EDR 不仅能告诉你“有威胁”，还能展示 “谁、在什么时候、通过什么方式、做了什么” ，以时间线的形式直观地呈现完整的攻击过程，极大简化了取证分析。

## 工作流程

数据采集：在所有终端上部署轻量级代理，持续收集数据并发送到中央管理平台。

分析与检测：平台利用规则、机器学习和威胁情报，对数据流进行实时分析。

告警与可视化：发现威胁后，生成富含上下文的警报，并可视化攻击链。

调查与狩猎：安全分析师利用平台工具进行深度调查或主动狩猎。

响应与修复：通过控制台，一键或自动化地对威胁进行遏制和清除。

回溯与报告：利用存储的历史数据，回溯攻击的全貌，并生成合规报告。