演示機型：華為MateBook X    系統(tǒng)版本：win10    

edr和殺毒軟件防御不同。EDR是主動防御，可以讓用戶知道攻擊者何時進入網(wǎng)絡，并在發(fā)生攻擊時檢測攻擊路徑，幫助用戶及時對安全事件作出反應。殺毒軟件是被動防御，殺毒軟件對攻擊期間發(fā)生的情況一無所知，它能在病毒入侵系統(tǒng)前做防護，但不能告知惡意軟件來自哪里，以及它們是如何在系統(tǒng)中傳播的。

小編還為您整理了以下內(nèi)容，可能對您也有幫助：

演示機型：華為MateBook X系統(tǒng)版本：win10

edr和殺毒軟件防御不同。EDR是主動防御，可以讓用戶知道攻擊者何時進入網(wǎng)絡，并在發(fā)生攻擊時檢測攻擊路徑，幫助用戶及時對安全事件作出反應。殺毒軟件是被動防御，殺毒軟件對攻擊期間發(fā)生的情況一無所知，它能在病毒入侵系統(tǒng)前做防護，但不能告知惡意軟件來自哪里，以及它們是如何在系統(tǒng)中傳播的。

裝了edr就不需要防病毒軟件了嗎？

兩者最本質(zhì)的區(qū)別是殺毒軟件主要用來防病毒,edr來主要是行為管理，理論可防病毒。兩者定位不同,個人認為不能替代殺毒軟件。如果為成本考慮，直接用啟用微軟自帶的就好了。

網(wǎng)絡安全中edr是什么意思

本教程操作環(huán)境：windows7系統(tǒng)、Dell G3電腦。

端點檢測與響應(Endpoint Detection & Response，EDR)是一種主動式端點安全解決方案，通過記錄終端與網(wǎng)絡事件，將這些信息本地化存儲在端點或者集中在數(shù)據(jù)庫。EDR 會集合已知的攻擊指示器、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機器學習技術來監(jiān)測任何可能的安全威脅，并對這些安全威脅做出快速響應。還有助于快速調(diào)查攻擊范圍，并提供響應能力。

能力

預測：risk assessment（風險評估）；anticipate threats（預測威脅）；baseline security posture（基線安全態(tài)勢）。

防護：harden systems（強化系統(tǒng)）；isolate system（隔離系統(tǒng)）；prevent attacks（防止攻擊）。

檢測：detect incidents（檢測事件）；confirm and prioritize risk（確認風險并確定優(yōu)先順序）。contain incidents（包含事件）。

響應：remediate（補救）；design policy change（設計規(guī)則變更）；investigate incidents（調(diào)查事件）。

安全模型

相比于傳端點安全防護采用預設安全策略的靜態(tài)防御技術，EDR 加強了威脅檢測和響應取證能力，能夠快速檢測、識別、監(jiān)控和處理端點事件，從而在威脅尚未造成危害前進行檢測和阻止，幫助受保護網(wǎng)絡免受零日威脅和各種新出現(xiàn)的威脅。安全模型如圖所示：

1、資產(chǎn)發(fā)現(xiàn)

定期通過主動掃描、被動發(fā)現(xiàn)、手工錄入和人工排查等多種方法收集當前網(wǎng)絡中所有軟硬件資產(chǎn)，包括全網(wǎng)所有的端點資產(chǎn)和在用的軟件名稱、版本，確保整個網(wǎng)絡中沒有安全盲點。

2、系統(tǒng)加固

需要定期進行漏洞掃描，打補丁、對安全策略進行更新和進一步細化，通過白名單現(xiàn)在未授權(quán)的軟件進行運行，通過防火墻為授權(quán)就開啟服務器端口和服務，最好能定期檢查和修改清理內(nèi)部人員的賬號和密碼還有授權(quán)信息。

3、威脅檢測

通過端點本地的主機入侵檢測進行異常行為分析，針對各類安全威脅，在其發(fā)生之前、發(fā)生中、和發(fā)生后作出相應的防護和檢測行為。

4、響應取證

針對全網(wǎng)的安全威脅進行可視化展示，對威脅自動化地進行隔離、修復和搶救，降低事件響應和取證的門檻，這樣就不需要依賴于外部專家就可以完成應急響應和取證分析。

功能

調(diào)查安全事件；

將端點修復為預感染狀態(tài)；

檢測安全事件；

包含終端事件；

工作原理

一旦安裝了 EDR 技術，馬上 EDR 就會使用先進的算法分析系統(tǒng)上單個用戶的行為，并記住和連接他們的活動。

感知系統(tǒng)中的某個或者特定用戶的異常行為，數(shù)據(jù)會被過濾，防止出現(xiàn)惡意行為的跡象，這些跡象會觸發(fā)警報然后我們就去確定攻擊的真假。

如果檢測到惡意活動，算法將跟蹤攻擊路徑并將其構(gòu)建回入口點。 （關聯(lián)跟蹤）

然后，該技術將所有數(shù)據(jù)點合并到稱為惡意操作 (MalOps) 的窄類別中，使分析人員更容易查看。

在發(fā)生真正的攻擊事件時，客戶會得到通知，并得到可采取行動的響應步驟和建議，以便進行進一步調(diào)查和高級取證。如果是誤報，則警報關閉，只增加調(diào)查記錄，不會通知客戶

體系框架

EDR 的核心在于：一方面，利用已有的黑名單和基于病毒特征的端點靜態(tài)防御技術來阻止已知威脅。另一方面，通過云端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發(fā)現(xiàn)來自外部或內(nèi)部的各類安全威脅。同時，基于端點的背景數(shù)據(jù)、惡意軟件行為以及整體的高級威脅的生命周期的角度進行全面的檢測和響應，并進行自動化阻止、取證、補救和溯源，從而有效地對端點進行安全防護。

EDR 包括：端點、端點檢測與響應中心、可視化展現(xiàn)三個部分，體系框架如圖所示：

端點：在 EDR 中，端點只具備信息上報、安全加固、行為監(jiān)控、活動文件監(jiān)控、快速響應和安全取證等基本功能，負責向端點檢測與響應中心上報端點的運行信息，同時執(zhí)行下發(fā)的安全策略和響應、取證指令等。

端點檢測與響應中心：由資產(chǎn)發(fā)現(xiàn)、安全加固、威脅檢測、響應取證等中心組成。

可視化：展現(xiàn)針對各類端點安全威脅提供實時的可視性、可控性，降低發(fā)現(xiàn)和處置安全威脅的復雜度，輔助用戶更加快速、智能地應對安全威脅。

檢測威脅類型

惡意軟件 (犯罪軟件、勒索軟件等)

無文件型攻擊

濫用合法應用程序

可疑的用戶活動和行為

要素類型和收集類型

EDR 是獨一無二的，因為它的算法不僅可以檢測和打擊威脅，還可以簡化警報和攻擊數(shù)據(jù)的管理。 使用行為分析來實時分析用戶活動，可以在不干擾端點的情況下立即檢測潛在威脅。 它通過將攻擊數(shù)據(jù)合并到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個安全的網(wǎng)絡，從而增強了取證分析的能力。

端點檢測和響應通過安裝在端點上的傳感器運行而不需要重新啟動。 所有這些數(shù)據(jù)被拼接在一起，形成了一個完整的端點活動圖，無論設備位于何處。

主要技術

智能沙箱技術

針對可疑代碼進行動態(tài)行為分析的關鍵技術，通過模擬各類虛擬資源，創(chuàng)建嚴格受控和高度隔離的程序運行環(huán)境，運行并提取可疑代碼運行過程中的行為信息，實現(xiàn)對未知惡意代碼的快速識別。

機器學習技術

是一門多學科交叉知識，是人工智能領域的核心，專門研究計算機如何模擬實現(xiàn)人類的學習行為，通過獲取新的技能知識重組已有的知識體系，并不斷完善自身性能。在大規(guī)模數(shù)掘處理中，可以自動分析獲得規(guī)律，然后利用這些規(guī)律預測未知的數(shù)據(jù)。

數(shù)字取證技術

數(shù)字取證是指對具有足夠可靠和有說服力的，存在于計算機、網(wǎng)絡、電子設備等數(shù)字設備中的數(shù)字證據(jù)，進行確認、保護、提取和歸檔的過程。在 EDR 中，數(shù)字取證要克服云計算環(huán)境取證、智能終端取證、大數(shù)據(jù)取證等關鍵技術，自動定位和采集端點人侵電子證據(jù)，降低取證分析的技術門檻，提高取證效率及其分析結(jié)果的準確性，為端點安全事件調(diào)查、打擊網(wǎng)絡犯罪提供技術支持。

EDR 優(yōu)缺點

優(yōu)點

EDR 具有精準識別攻擊的先天優(yōu)勢。端點是攻防對抗的主戰(zhàn)場，通過 EDR 在端點上實施防御能夠更加全面地搜集安全數(shù)據(jù)，精準地識別安全威脅，準確判定安全攻擊是否成功，準確還原安全事件發(fā)生過程。

EDR 完整覆蓋端點安全防御全生命周期。對于各類安全威脅事件，EDR 在其發(fā)生前、發(fā)生中、發(fā)生后均能夠進行相應的安全檢測和響應動作。安全事件發(fā)生前，實時主動采集端 安全數(shù)據(jù)和針對性地進行安全加固；安全事件發(fā)生時，通過異常行為檢測、智能沙箱分析等各類安全引擎，主動發(fā)現(xiàn)和阻止安全威脅；安全事件發(fā)生后，通過端點數(shù)據(jù)追蹤溯源。

EDR 能夠兼容各類網(wǎng)絡架構(gòu)。EDR 能夠廣泛適應傳統(tǒng)計算機網(wǎng)絡、云計算、邊緣計算等各類網(wǎng)絡架構(gòu)，能夠適用于各種類型的端點，且不受網(wǎng)絡和數(shù)據(jù)加密的影響。

EDR 輔助管理員智能化應對安全威脅。EDR 對安全威脅的發(fā)現(xiàn)、隔離、修復、補救、調(diào)查、分析和取證等一系列工作均可自動化完成，大大降低了發(fā)現(xiàn)和處置安全威脅的復雜度，能夠輔助用戶更加快速、智能地應對安全威脅。

缺點

EDR 的局限性在于并不能完全取代現(xiàn)有的端點安全防御技術。EDR 與防病毒、主機防火墻、主機入侵檢測、補丁加固、外設管控、軟件白名單等傳統(tǒng)端點安全防御技術屬于互補關系，并不是取代關系。

技術前提

要想使用或者更好的的理解 EDR 就需要對一些知識有了解，這樣才能更好地的使用和理解 EDR 的原理和使用方法。

熟悉 Linux 環(huán)境，python 或 shell，Java；

熟悉 hadoop，spark 等大數(shù)據(jù)組件；

熟悉數(shù)據(jù)挖掘與分析（比如進行風險等級劃分），數(shù)據(jù)統(tǒng)計技術（比如一些置信度的計算），機器學習技術（分類檢測等），深度學習技術，大數(shù)據(jù)分析技術（主要是關聯(lián)分析），漏斗分析法等。

熟悉 mysql 或 nosql 數(shù)據(jù)庫，集中存儲的數(shù)據(jù)庫，分布式存儲的數(shù)據(jù)庫。

EDR 是什么意思

EDR即Enhanceddatarate，是藍牙技術中增強速率的縮寫，其特色是大大提高了藍牙技術的數(shù)據(jù)傳輸速率，達到了2.1Mbps，是目前藍牙技術的三倍。

主要優(yōu)勢：

因此除了可獲得更穩(wěn)定的音頻流傳送的更低的耗電量之外，還可充分利用帶寬優(yōu)勢同時連接多個藍牙設備，目前諸如多普達710等手機已經(jīng)開始支持藍牙EDR技術。

edr能代替殺毒嗎

親 你好 eEr完全具備殺病毒和防病毒功能，終端安全響應系統(tǒng)是傳統(tǒng)終端安全產(chǎn)品在高級威脅檢測和響應方面的擴展和補充。

網(wǎng)絡攻擊升級，提供安全防御技術有哪些

我們常用的網(wǎng)絡安全防御技術，主要包括防火墻，殺毒軟件，網(wǎng)址過濾，終端檢測和響應，以及瀏覽器隔離解決方案！

以下是各自的最佳操作，希望對你有幫助：

防火墻

防火墻是常用的終端保護平臺，可作為終端與互聯(lián)網(wǎng)之間的屏障。防火墻過濾通過互聯(lián)網(wǎng)進入網(wǎng)絡或終端的信息。如數(shù)據(jù)包被標記，則不允許通過。以下是防火墻設置和使用的一些最佳實踐：

1、請勿購買第一個碰到的。在線搜索并與同行協(xié)商，根據(jù)您的需求尋找最合適的選擇

2、請專家配置和管理防火墻。如果您沒有內(nèi)部專家（例如您的IT團隊），請考慮將此任務外包給外部專家

3、確保每個終端都具有軟件防火墻保護，并且每個互聯(lián)網(wǎng)連接/服務器都具有硬件防火墻保護。

殺毒（AV）軟件

殺毒（AV）軟件通常直接安裝在終端上，并可檢測和刪除惡意應用程序。傳統(tǒng)殺毒軟件使用病毒數(shù)據(jù)庫來識別潛在的威脅，然后將其隔離和銷毀，而下一代殺毒（NGAV）解決方案通常采用其他技術，而不僅僅依賴病毒數(shù)據(jù)庫，來幫助識別威脅。使用殺毒軟件時，請遵循以下做法：

1、選擇一個優(yōu)質(zhì)的殺毒軟件。雖然基本的免費殺毒解決方案在整個網(wǎng)絡隨處可見，但值得去購買更先進的解決方案，以提供更高程度的保護

2、確保網(wǎng)絡上的每個終端都裝有自身的殺毒軟件，并且該軟件會定期更新。建議將此作為組織安全策略的一項規(guī)則

3、考慮使用額外的反間諜軟件、反惡意軟件和反木馬軟件來補充殺毒軟件，以保護終端免受其他形式的惡意威脅的侵害

4、確保對終端經(jīng)常進行定期全面掃描，以檢測任何可能已經(jīng)入侵的病毒

5、每天至少更新一次病毒數(shù)據(jù)庫，以保護終端免受最新威脅的侵害

6、使用大多數(shù)現(xiàn)代殺毒解決方案附帶的額外終端保護功能，例如啟發(fā)式病毒檢測和電郵掃描，以獲得進一步的保護

網(wǎng)址過濾

使用網(wǎng)址過濾網(wǎng)絡流量，阻止用戶訪問已知或疑似惡意或有害網(wǎng)站。使用網(wǎng)址過濾工具時，請確保執(zhí)行以下操作：

1、制定全面，確定可允許訪問的網(wǎng)站類別

2、當用戶遇到未正確分類的可疑網(wǎng)站時，應將其提交給網(wǎng)址過濾系統(tǒng)進行分類

終端檢測和響應（EDR）

EDR系統(tǒng)含有復雜智能工具，可持續(xù)監(jiān)視終端是否存在可疑活動或其他潛在安全問題，并在檢測到異常行為時啟動實時響應。在選擇和實施EDR系統(tǒng)時，請遵守以下準則：

1、在選擇適當?shù)腅DR之前，為您的組織制定全面的安全，以便您清楚了解希望EDR實現(xiàn)的目標

2、確保解決方案適用于網(wǎng)絡上使用的所有類型的終端

3、選擇與終端保護系統(tǒng)所有其他元件兼容的EDR

4、確保您選擇的EDR供應商協(xié)助安裝、配置和集成EDR系統(tǒng)

瀏覽器隔離解決方案

瀏覽器隔離解決方案是所有全面終端防護策略的重要組成部分，因其可以保護最常見的勒索軟件、零日攻擊，隱蔽強迫下載和其他惡意內(nèi)容的攻擊媒介，即網(wǎng)絡瀏覽器。這些解決方案填補了諸如防火墻和殺毒軟件等工具留下的關鍵空白，因為它們不依賴于檢測威脅來防范攻擊。相反，他們在虛擬機或容器等孤立的環(huán)境中運行所有活動瀏覽器的可執(zhí)行代碼，無論該活動是否為惡意。這就確保了即使萬一在瀏覽器上運行了惡意代碼，終端也不會受到影響。在實施瀏覽器隔離解決方案時，以下是一些最佳做法：

1、選擇一個在組織網(wǎng)絡之外的云端或網(wǎng)絡隔離區(qū)中執(zhí)行瀏覽會話的遠程瀏覽器隔離解決方案（RBI）。這會將終端和網(wǎng)絡從任何潛在風險中轉(zhuǎn)移出來，以獲得最佳保護

2、通過確保瀏覽環(huán)境在每個會話結(jié)束時重置為已知良好狀態(tài)，選擇一種可最大程度減少持續(xù)威脅的解決方案。例如，Ericom Shield遠程瀏覽器隔離會在其自身的一次性容器中運行每個瀏覽器的頁面，并在瀏覽會話結(jié)束時或經(jīng)過預定的閑置時間后將其銷毀，從而進一步降低感染風險

3、旨在為任何設備提供最佳用戶體驗的解決方案，最好無需任何本地安裝，以便用戶可以按照自己選擇的設備和瀏覽器正常瀏覽，IT也無需安裝或維護個人終端上的任何內(nèi)容

4、確保解決方案兼容，并且可以與組織安全系統(tǒng)的其他組件有效集成

5、利用集成文件清理技術。一些瀏覽器隔離解決方案預先集成了CDR或其他工具，用于解除用戶瀏覽時所下載文件的警報。

如果對我的回答還滿意的話記得采納哦~

edr終端防護中心能監(jiān)控到聊天記錄嗎

不可以。

EDR僅僅是終端安全管理產(chǎn)品，最核心的能力是病毒APT等威脅的檢測、防護、閉環(huán)處置，以及終端資產(chǎn)管理。涉及到信息一般也只是資產(chǎn)地址、終端IP地址、MAC地址、操作系統(tǒng)、硬件信息、軟件信息（版本信息、所屬廠商、安裝路徑等）這類的終端設備信息。EDR并非應用內(nèi)容分析類產(chǎn)品，無法對應用內(nèi)容如聊天記錄等采集監(jiān)測，不具備監(jiān)控記錄終端用戶的郵件、微信等聊天軟件產(chǎn)生的聊天記錄的功能，也無法竊取任何終端用戶的文件。

深信服edr會監(jiān)控電腦嗎

不可以。

深信服EDR主打病毒、APT類相關的威脅防護，與安全事件快速響應閉環(huán)。其產(chǎn)品目前并不具備對應用內(nèi)容分析的功能，無法對應用內(nèi)容如聊天記錄等采集監(jiān)測，也無法竊取任何終端用戶的文件。此外，目前國家《數(shù)據(jù)安全法》《個人信息保》等都對個人信息收集是有要求的，EDR應用程序從終端采集的安全日志，深信服也僅在基于滿足用戶需求的目的、在用戶授權(quán)委托的范圍內(nèi)進行處理，不可能去監(jiān)控聊天記錄。

深信服edr和奇安信天擎的區(qū)別？

深信服edr從事安全運維的人可能或多或少的都有一定的了解。EDR平臺是將下一代防病毒元素與其他工具相結(jié)合的安全系統(tǒng)，可同時實現(xiàn)實時異常檢測和警報，取證分析和端點修復等功能。它核心是通過記錄終端信息與網(wǎng)絡事件（例如用戶，文件，進程，注冊表，內(nèi)存和網(wǎng)絡事件），并將這些信息本地存儲在端點或集中數(shù)據(jù)庫，再結(jié)合已知的攻擊指示器

奇安信天擎行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機器學習技術來監(jiān)測任何可能的安全威脅，并對這些安全威脅做出快速響應。目前奇安信天擎模式被廣泛應用在企業(yè)電腦終端的安全監(jiān)控中，國內(nèi)一些老牌安全公司，如深信服、奇安信、安恒等都有成熟的EDR產(chǎn)品

想學前端開發(fā)應該從哪里入門

你可以把網(wǎng)絡安全理解成電商行業(yè)、教育行業(yè)等其他行業(yè)一樣，每個行業(yè)都有自己的軟件研發(fā)，網(wǎng)絡安全作為一個行業(yè)也不例外，不同的是這個行業(yè)的研發(fā)就是開發(fā)與網(wǎng)絡安全業(yè)務相關的軟件。

既然如此，那其他行業(yè)通用的崗位在安全行業(yè)也是存在的，前端、后端、大數(shù)據(jù)分析等等，也就是屬于上面的第一個分類，與安全業(yè)務關系不大的類型。這里我們重點關注下第二種，與安全業(yè)務緊密相關的研發(fā)崗位。

這個分類下面又可以分為兩個子類型：

做安全產(chǎn)品開發(fā)，做防

做安全工具開發(fā)，做攻

安全行業(yè)要研發(fā)的產(chǎn)品，主要（但不限于）有下面這些：

防火墻、IDS、IPS

WAF（Web網(wǎng)站應用防火墻）

數(shù)據(jù)庫網(wǎng)關

NTA（網(wǎng)絡流量分析）

SIEM（安全事件分析中心、態(tài)勢感知）

大數(shù)據(jù)安全分析

EDR（終端設備上的安全軟件）

DLP（數(shù)據(jù)泄漏防護）

殺毒軟件

安全檢測沙箱

總結(jié)一下，安全研發(fā)的產(chǎn)品大部分都是用于檢測發(fā)現(xiàn)、抵御安全攻擊用的，涉及終端側(cè)（PC電腦、手機、網(wǎng)絡設備等）、網(wǎng)絡側(cè)。

開發(fā)這些產(chǎn)品用到的技術主要以C/C、Java、Python三大技術棧為主，也有少部分的GoLang、Rust。

安全研發(fā)崗位，相對其他兩個方向，對網(wǎng)絡安全技術的要求要低一些（只是相對，部分產(chǎn)品的研發(fā)對安全技能要求并不低），甚至我見過不少公司的研發(fā)對安全一無所知。

我們單位的內(nèi)網(wǎng)大多數(shù)電腦都帶有病毒，請教各位大俠有什么好的方法可以殺毒和防護。

1、最實惠的但比較麻煩的方法是單個安裝新版殺毒防護軟件（360、火絨、金山等），逐個查殺，查殺完成后，日常保持各電腦的防護；

2、推薦的是：可以部署網(wǎng)絡版殺毒防護軟件，統(tǒng)一管理、定時查殺和更新；網(wǎng)絡版的一般是收費的，一個點大概100-300，其實不算貴，有的有基礎費1-2萬。可以推薦的有360天擎、綠盟UES、深信服EDR。

3、更高要求的基本防護可以在網(wǎng)絡入口部署防火墻、IPS、殺毒防護網(wǎng)關，當然各終端的殺毒防護軟件還是必不可少，本來殺毒防護軟件也相當于一個簡易版防火墻。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com