網路安全性中 EDR 的角色
對於致力避免網路攻擊的組織來說,EDR 代表了更進一步的防毒程式技術。防毒程式的目的是阻止惡意執行者進入系統,方法為檢查資料庫中的已知威脅,並在偵測到威脅時,採取自動隔離的動作。端點保護平台 (EPP) 是包括進階防毒和反惡意軟體保護的第一道防線,而 EDR 會啟用偵測和補救,在外泄發生時提供額外的保護。
透過偵測和分析可疑行為,或稱為 入侵指標 (IOC),EDR 有能力搜捕至今未發現的威脅 (那些突破界限的威脅)。
EDR 可為安全性小組提供所需的可見度與自動化,以加速事件回應,並防止對端點的攻擊散佈。其作用包括:
- 監視端點並保留完整的活動記錄,以即時偵測可疑活動。
- 分析此資料以判斷威脅是否需要調查和補救。
- 為安全性小組產生優先警示,讓安全小組知道需要優先處理哪些問題。
- 對入侵的完整歷程記錄與範圍提供可見度與內容,協助安全性小組調查。
- 在威脅散佈之前,自動包含或補救威脅。
EDR 如何運作?
雖然 EDR 技術可能會隨每個廠商而不同,但是其使用方式大致相同。EDR 解決方案:
- 持續監視端點。當您的裝置上線時,EDR 解決方案會在每個裝置上安裝軟體代理程式,以確保安全性小組可以看到整個數位生態系統。已安裝代理程式的裝置稱為「受管理的裝置」。此軟體代理程式會持續記錄每個受管理的裝置上的相關活動。
- 彙總遙測資料。從每個裝置中擷取的資料會從代理程式傳回 EDR 解決方案,此解決方案可位於雲端或內部部署。安全性小組會即時看到事件記錄、驗證嘗試、應用程式使用及其他資訊。
- 分析資料並相互關聯。EDR 解決方案會揭示容易遺漏的 IAC。EDR 通常會使用 AI 和機器學習,根據全球威脅情報來套用行為分析,協助您的小組抵禦針對貴組織使用的進階策略。
- 讓可疑威脅浮現,並自動採取補救動作。EDR 解決方案會標出潛在攻擊,並將可採取動作的警示傳送給安全性小組,以便快速回應。根據觸發程式,EDR 系統可能也會隔離端點,或包含威脅,以防止威脅在調查事件時散佈。
- 儲存資料供日後使用。EDR 技術會保留過去事件的鑑識記錄,以通知未來的調查。安全性分析師可以使用此功能來合併事件,或了解長時間或先前未發現攻擊的全貌。
重要的 EDR 功能和特徵
-
消除盲點
EDR 可讓安全性小組取得現有端點的統一可見度和管理,並探索連線至您網路且可能會引入不必要的常見弱點與暴露風險 (CES) 的未受管理端點。安全性小組也可以使用它來標出弱點和錯誤設定,以減少受攻擊面。
-
使用新一代調查工具
EDR 解決方案會與安全性小組合作,以排定最嚴重的潛在威脅的優先順序、驗證威脅,並在幾分鐘內執行分類動作。
-
封鎖最複雜的攻擊
EDR 解決方案可協助安全性小組找出複雜的威脅,例如持續將行為轉移為規避偵測的勒索軟體。它可有效抵禦檔案型和無檔案攻擊。
-
更快速地補救威脅
安全性小組可以使用自動包含攻擊的 EDR 工具,減少回應威脅所花的時間、啟動調查,並使用 網路安全性 AI 以套用最佳做法並判斷下一個步驟。
-
主動式搜捕威脅
EDR 解決方案會運用豐富的行為分析來提供深度威脅監視,協助小組在第一時間發現可疑行為跡象時嗅出攻擊。
-
整合偵測和回應與 SIEM
許多 EDR 安全性解決方案可輕鬆與現有的安全性 安全性資訊與事件管理 (SIEM) 產品及安全性小組堆疊中的其他工具整合。
為什麼 EDR 很重要?
EDR 安全性解決方案可為新式組織提供重要的保護。光是防毒和反惡意軟體解決方案並無法 100% 防止可能以您的網路為攻擊目標之攻擊。網路犯罪者正不斷演進其用於突破周邊防禦的策略,而且有時還真的可以突破。安全性小組需要強大的工具來搜捕可能突破周邊防禦並造成嚴重損壞和資料遺失的少數威脅。
分散式阻斷服務 (DDoS) 攻擊、網路釣魚,和勒索軟體等威脅,可能對組織作業帶來災難性的影響,並花費大量金錢進行補救。網路犯罪者的資源越來越豐富,積極性也越來越高。對他們來說,滲透系統代表成功獲利,因此他們會投資新技術,讓攻擊更成功。在網路威脅策略不斷演進的速率下,組織改善其安全性態勢讓自己更主動,並投資可解決現代威脅的技術,均是很好的財務抉擇。
隨著更多組織採用遠端和混合式工作模式,EDR 變得特別重要。當員工從不同地理位置的膝上型電腦、電腦和行動電話連線到網路時,安全性小組必須對更大的攻擊面進行防禦。EDR 解決方案讓他們能夠即時監視和分析來自這些端點的資料。
EDR 對事件回應的影響
EDR 安全性解決方案可協助您的團隊在事件回應計劃的每個階段建立效率。除了讓小組能夠偵測可能保持隱藏的威脅之外,他們可以預期 EDR 功能可減輕與事件回應生命週期稍後階段相關的手動和冗長工作:
遏制、根除和復原。實時可見度與自動化 EDR 解決方案可協助您的小組快速隔離受感染的端點、封鎖出入惡意 IP 位址的流量,並開始採取下一個步驟來緩解威脅。EDR 工具會持續捕捉端點的影像,以便在必要時更輕鬆地回到先前的未感染狀態。
事件後分析。EDR 會提供端點活動、網路連線、使用者動作和檔案修改的鑑識數據,可協助分析人員執行根本原因分析,以識別事件的來源。這也會加速他們對運作良好及運作不好的項目進行分析與報告,以便下次能做出更好的準備。
EDR 和威脅搜捕
主動式 網路威脅搜捕 是分析師為了搜尋其網路中的未知威脅而執行的安全性練習。EDR 解決方案可支援這項功能,其提供的鑑識資料可協助分析人員決定要鎖定的 IOC,例如特定檔案、設定或可疑行為。在網路威脅環境中,惡意行為者通常潛伏在環境中數月而不被發現,威脅搜捕是強化您的安全性狀態勢並符合合規性需求的唯一方法。
部分 EDR 解決方案將允許您的分析師建立目標威脅偵測的自訂規則。這些規則能讓您主動監視各種事件和系統狀態,包括可疑的入侵活動和設定錯誤的端點。它們可設定為定期執行,在符合專案時產生警示並採取響應動作。
將 EDR 做為安全性策略的一部分
如果您考慮在防禦中新增 EDR 安全性功能,請選擇與現有工具完美整合的解決方案,並簡化您的安全性堆疊,而不是使其更複雜。選擇使用進階 AI 的 EDR 解決方案也非常重要,這樣它才能從過去的事件中學習,並自動處理類似的事件,以減少小組的工作負載。
使用適用於端點的 Microsoft Defender,讓您的安全小組更有效率並成功防禦攻擊者。適用於端點的 Defender 可協助改進您的安全性策略,以防範跨多平台企業的複雜威脅。
深入了解 Microsoft 安全性
常見問題集
-
EDR 不只是防毒技術。防毒程式的目的是阻止惡意執行者進入系統,方法為檢查資料庫中的已知威脅,並在偵測到威脅時,採取自動隔離的動作。EDR 提供更強大的保護,因為它能夠分析可疑行為來搜補尚未發現的威脅。
-
EDR 代表端點偵測和回應,對企業來説,它是確保網路犯罪無法使用員工膝上型電腦、桌面電腦及行動裝置來侵入工作資料和基礎結構的重要工具。EDR 讓安全性小組能夠查看所有連線至網路的端點,並提供強大的工具,協助他們分析威脅訊號並偵測威脅。
-
EDR 可持續監視連線至網路的端點並記錄行為,讓安全性小組可以更有效地保護組織抵禦威脅。EDR 會集中彙總遙測資料,然後分析資料並相互關聯其潛在威脅。它也會在必要時採取自動補救動作,並提供攻擊的鑑識記錄,讓調查更快速。
-
適用於端點的 Microsoft Defender 是一種企業 EDR,專門設計來協助企業網路防護、偵測、調查和回應進階威脅。它與其他許多 Microsoft 解決方案整合,以提供全面、一流的安全性。
-
XDR 是 EDR 的自然演進。XDR 拓展了 EDR 的範圍,為更廣泛的產品 (從網路和伺服器到雲端式應用程式和端點) 提供最佳化的偵測及回應。XDR 為整個企業範圍的現有安全性工具和產品提供彈性和整合。
關注 Microsoft 365