EDR的英文全称为Endpoint Dextection and Response,中文意思为端点检测与响应,顾明思议云主机EDR的意思就是云主机的端点检测与相应,该技术是源于美国的下一代终端安全防护技术,属于终端安全技术的重要分支之一,主要用来应对日益猖獗的APT攻击。
采用了EDR的安全产品能够“点亮”主机环境,让未知威胁看得见,防得住:记录多个端点和网络事件,并将这些信息本地存储在主机、服务器或集中式数据库。政府和企业可通过机器学习、行为分析和攻击指标数据库来整合关联分析,在攻击产生危害前提前发现和预警,并对攻击做出响应。
具体的实现流程如下:
1、主机数据采集
通过主机端点上安装的轻代理对主机上的安全数据汇总到数据采集模块上进行统一的归类、加密、并传输给大数据分析模块。
2、威胁情报获取
基于云端的海量数据处理获取到未知威胁,并将威胁情报信息导入云眼系统大数据分析模块。
3、大数据分析
对主机端点采集到的安全数据结合获取到的威胁情报信息,进行威胁情报大数据分析,准确识别出威胁事件。
4、告警及响应
对识别出的威胁事件进行警告通知及响应处置。
通过以上的内容我们可以清楚的知道云主机EDR是什么意思以及如何实现其监测与防护的过程,如果您对云主机安全有任何需求可以联系安全狗,安全狗云眼产品是针对云主机入侵监测的第一代安全管理平台。