端點偵測回應 ( EDR )
企業極致資安防禦,端點偵測和響應 ( EDR ) 不可或缺!
端點偵測和響應 ( Endpoint Detection and Response, EDR ) 又稱端點威脅檢測及回應 ( Endpoint Threat Detection and Response, ETDR ) 是一種端點安全防禦, 用於端點裝置上收集紀錄、分析可疑行為或活動,並提供組織對威脅的修補方案或建議。
“主要專注於檢測可疑活動的工具”
-取自ETDR名詞創造者: Gartner的Anton Chuvakin 在2013/7月對ETDR定義
有別於一般的防毒 ( Anti-virus ),端點偵測回應 ( EDR ) 工具提供更進一步的指導和修正;通常包含 : 安全檢測、端點事件、資安事件調查和補救措施建議。
網路資訊安全威脅逐年增高且較以往變化詭譎快速,根據許多研究指出網路犯罪份子更專注在知名企業、政府機構、教育單位和醫療體系,以獲取更高的報酬和獲益。
企業需採用 EDR 解決方案不可或缺的理由:
01
端點可見性
當連接網路端點數增多時,網路攻擊的複雜性也因而提高 !
相較一般防火牆或普通資安設備多集中在流量分析,其收集通過的加密封包無法得知內容、無法紀錄在伺服器內或網站的活動軌跡、追蹤跨網站與跨網段流向紀錄等限制。
EDR 強調在端點控制,可記錄端點裝置,不論是桌上型電腦、筆記型電腦、伺服器、工作站、容器(container) 等,均可提供預先防護、偵測及反應的機制。
02
自動反應
透過持續監控及AI分析,自動回應警示威脅。
將攻擊行動可視化,凸顯關鍵攻擊路徑,減輕 IT 人員的負擔。
便於管理人員識別組織影響級別及事件 / 防護漏洞,以做出合宜的對應處理,輕鬆地於管理介面回應處理。
03
對應 MITRE ATT&CK 安全事件
EDR解決方案的警報質量更甚於數量 !
當安全警報無法提供輕鬆識別安全事件和對應的建議處置,資安人員會浪費更多的時間在分析安全報告上的異常行為,無法即時及正確的採取行動。
因此,透過 EDR 自動化分析 MITRE ATT&CK 項目,可作為事件處理的完整程序。
04
中控管理與 SOC ( Security Operation Center ) 整合
集中式控管設計,可配置儀表板、電子郵件通知,以及針對即時性或計畫性的情況進行綜合報告。
同時可與資訊安全中心 SOC 整合,有利於快速的資安通報與監控。
05
輕量級安裝,快速佈署
端點只需安裝輕量 agent,不影響監控主機的效能,並能快速的佈署監控端點。
