终端安全EDR
一. 什么是 EDR
EDR(Endpoint Detection and Response) = 终端检测与响应,是一类专门保护 PC、服务器、移动终端 的安全产品。它的目标是 发现、分析、响应和阻止终端上的威胁行为,是传统杀毒软件(AV)的升级和进化版。
二. EDR 的核心功能
数据采集
采集终端的进程、文件、注册表、内存、网络连接、用户操作等行为数据。
威胁检测
利用特征库(病毒特征)、行为分析、机器学习模型、威胁情报来识别恶意行为。
响应与处置
隔离主机
阻断恶意进程
删除恶意文件
阻断网络连接
溯源分析
还原攻击链路(攻击者怎么进来的、做了什么、往哪里横向移动)。
常常结合 MITRE ATT&CK 框架 来标记攻击步骤。
取证能力
终端日志保存,便于安全团队做攻击调查、证据固定。
三. EDR 能解决什么问题
传统杀毒的不足:杀毒主要靠特征码,无法检测未知威胁、无文件攻击。
APT 高级攻击:EDR 能发现利用内存马、PowerShell 脚本、横向移动等复杂攻击。
快速响应:发现异常后,安全团队能立即隔离终端,防止扩散。
合规需求:一些行业安全规范(如等保2.0)要求部署终端安全监控与响应能力。
四. 常见应用场景
勒索软件防护:检测到文件加密行为后立即阻止并隔离终端。
恶意脚本检测:识别可疑的 PowerShell、WMI、宏代码运行。
内部人员越权:发现大规模压缩、拷贝敏感文件。
漏洞利用检测:当终端被漏洞攻击时,记录利用链,阻断恶意进程。
五. 和其他安全产品的关系
AV(杀毒软件):防护已知病毒 → 静态检测。
EDR:检测已知 + 未知攻击,重点在 行为监控 和 响应能力。
XDR:扩展到网络、邮件、云环境等,EDR 是 XDR 的核心组成部分。
SIEM / SOAR:EDR 的数据通常会接入 SIEM 做统一分析,或接入 SOAR 实现自动化处置。
六、EDR 运营工作内容
策略配置
白名单 / 黑名单
防护策略(USB、进程执行、RDP 登录限制)
告警阈值调优,减少误报
告警监控
实时监控 EDR 控制台告警
告警分级(高危、中危、低危)
告警确认 → 研判 → 工单流转
事件响应
快速隔离受感染终端
杀毒、封堵恶意 IP/域名
采集内存、日志进行溯源
溯源分析
结合日志(EDR、SIEM、Sysmon、流量日志)
还原攻击链路(初始入口 → 横向移动 → 提权 → 持久化)
形成事件分析报告
运营优化
周报/月报(检测趋势、攻击类型统计)
调优检测规则,减少误报
根据攻击案例更新响应预案
与其他系统联动
与 SIEM 联动,统一日志与告警
与 SOAR 联动,实现自动化处置
与 威胁情报平台 联动,快速识别已知攻击
七、常见运营场景
勒索软件:发现加密行为 → 隔离主机 → 终止进程 → 溯源初始邮件附件
APT 攻击:监控异常 PowerShell、Cobalt Strike beacon、Mimikatz 等
内部威胁:检测员工私自拷贝数据、批量压缩上传行为
漏洞利用:发现终端运行恶意漏洞利用进程(exp.exe、javaw 异常执行等)
八、EDR 运营常见挑战
误报多 → 策略不合理、检测模型泛化不足
漏报 → 高级攻击规避检测(无文件攻击、内存马)
取证复杂 → 数据量大,需要关联不同日志
人力不足 → 需要 SOAR 自动化编排响应
九、EDR 运营人员的能力要求
熟悉 Windows/Linux 系统底层原理(进程、内核、注册表、日志)
掌握 安全事件分析与溯源方法
能够编写 检测规则(YARA、Sigma)
了解 MITRE ATT&CK,会做攻击链条分析
有一定的 脚本开发能力(Python、PowerShell),实现自动化