本帖最后由 呵呵大神001 于 2022-2-21 23:52 编辑
写在正文之前 我所演示的是bitdefender EDR,包含XDR功能,是我本人自费购买的 1.EDR与XDR的概念 edr相当于你一台机器上的威胁指标聚合,如某user点了什么文件产生了什么后果 这是一个典型的EDR事件,可以清楚的看到用户执行了winrar.exe释放了一个软件s.exe EDR清晰的揭示了s.exe是通过s.zip释放的 我们假设bitdefender不知道s.exe是恶意软件,打开其集成的virustotal查看文件信誉 石锤恶意软件,但此时bitdefender还不知道他是恶意软件,那么怎么知道同一网络上的其他计算机有没有被他感染呢,就要靠ioc扫描啦 IOC:风险指标,可以理解为一个恶意软件的hash 使用ioc扫描就可以快速找出各设备上是否有传播的恶意软件,再把相关ioc拉黑就行了 当然如果恶意进程正在运行你直接结束他也是可以的
xdr类似于你一台机器对另外一台机器做了什么,如某恶意文件通过机器1扩散到机器2,或者通过dropbox下载到机器1上,edr是检测不出这个的 *此图片来源于bitdefender官方支持网站,楼主懒得自己测xdr 可以看出XDR揭示了一个事件是如何关联到内外网和内网各端点的 就可以找出入侵源头并拉黑有关主机ip地址/网址,隔离受感染机器,相当于把EDR扩展到了整个企业网络的维度,故曰扩展检测与响应eXtended Detection and Response(XDR)
2.有了EDR和XDR,我可以干点啥厉害的事 (1)搜索安全事件 可以查看这些数据在一段时间内的访问情况,对事件取证有很大帮助 给出几个示例 曝出某apt攻击相关ip和工具,可以用安全事件搜索功能看看自己的企业/阻止有没有被apt攻击 或者看看哪个二货员工的电脑是企业被社会工程学攻击的源头 (2)自定义规则 相当于半个自动化运维,可以检测你定义的事件,当然,排除也可以 比如某个进程一直被bitdefender的atc拉黑你给他排除一下就行 还可以检测连接,看你的员工在工作时有没有摸鱼看一些视频网站啥的
结语:虽然我用的是bitdefender EDR的例子,但其他edr也是大同小异,EDR多次入选Gartner十大年度安全项目,但卡饭对此介绍较少,故本人作此文以介绍之,随后本人也会陆续更新几篇有关新兴安全技术(EDR 威胁情报)的介绍,才疏学浅,多有缺漏,还请见谅,学业繁忙,更新时间也不能保证,还请多多包容
P.S.这授权真是贵死我了
| 
发表于 2022-2-21 23:41:26
edr算是个体防护的极致了,xdr就是网络连接之间的防护了
楼主
欢迎常来