1.什么时EDR
:完全不同以往的端点被防护思路,而是通过云端威胁情报,机器学习,异常行为分析,攻击指示器等方式,主动发现来自外部或内部的安全威胁
。并进行自动化的阻止,取证,补救和溯源从而有效对端点进行防护。
EDR的四种能力
:
1.预测:风险评估,预测威胁,基线安全
态势
2.防护:强化系统,隔离系统,防止攻击。
3.检测:检测事件,确认风险并确定优先顺序,包含事件。
4.响应:补救、设计规则变更,调查事件
**
2.EDR如何工作
**
1) 检测:一旦安装EDR技术,它就会使用先进算法来分析系统上单个用户的行为,允许记住和连接他们的活动
2)调查:感知到系统中某个特定的用户有异常行为,数据会立即被过滤,丰富和监控以防出现恶意行为的迹象,这些迹象触发了警报,调查就开始了一 一确定攻击是真是假。
3)并联跟踪:如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。
4)可视化:然后该技术将所有数据点合并到恶意操作,9(MaLOPs)的窄类别中,使分析人员更容易查看
5)处理:在发生真正的攻击时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证,如误报,则警报关闭记录,不会通知客户处理。
3.EDR的组成:
**1)端点:**在EDR中,端点只具备信息上报安全加固,行为监控,活动文件监控,快速响应和安全取证等基本功能,负责端点检测与响应中心上报端点的运行信息,同时执行下发的安全策略和响应,取证指令。
2)端点检测与响应:由资产发现,安全加固,威胁检测,响应取证。
<1>资产发现中心:侧重于主动发挥全网端点,软硬件资源掌控全网所有端点使用情况,确保安全无盲区。
<2>安全加固检测中心:依托于第三方机构提供的安全加固资源和威胁情报,为全网端点提供漏洞扫描和加固服务。
<3>威胁检测中心:收集全网端点的用户登录,软件安装卸载,软件加载退出,网络访问.端点网络流量,硬盘文件操作,数据输入输出,外设使用等各类运行信息。
<4>响应取证中心:依赖于应急响应知识库对安全威胁进行自动化隔离,修复和补救,具体措施包括端点与网络隔离
,自动完全威胁的调查,取证分析和取证工作,辅助用户确定安全威胁的来源,危害等级,危害对象,无外乎范围和影响。
3)可视化:展现针对各类端点安全威胁提供实时的可视性,可控性,降低发现和处置安全威胁的复杂度,辅助用户更快,智能地应对安全威胁。
4.EDR能够检测到什么类型的威胁
1)恶意软件(犯罪软件,勒索软件)
2)无文件型攻击
3)滥用合法应用程序
4)可疑用户的活动和行为
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&安全>web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
