[分享]什么是EDR安全

介绍一下什么是EDR、EDR是为了解决什么问题而产生的、EDR系统架构
一、EDR概述
首先是安全产品,从最初的网络安全需求发展到现在,安全产品的种类已经非常多。大家看一下常见的安全产品有哪些,在早年对于业务安全需求比较多的情况下是WAF这个产品,它突出表现在对业务的API防护,比如说像常见的防注入、入侵检测。

这是主机安全上的IDS和IPS,IDS和IPS是目前讨论得比较多的一个安全产品,因为无论大小企业,都会用到这款产品。HIDS和NIPS最主要的区别是是否在主机端部署agent,agent是用来收集主机上的日志信息,用来后期的数据关联、数据分析。
早年的网络安全需求发展到现在,已经变成了非常大的网络安全市场,EDR也是一个转变的产品、是一个复合型的产品,它在终端上会分为终端的检测与响应,或者基于云安全平台的CWPP这个产品。

大家看看这个安全能力象限,在企业安全建设过程中,安全能力体现产品开发思路以及产品在企业安全中扮演的角色,安全能力象限-检测、防护、预测、响应,这四个点代替了企业当中经常遇到的网络安全问题。
拿检测来说,检测恶意流量、攻击行为是IDS和SSP安全感知平台这些产品的功能需求,防护产品就是常见的杀软、WAF、防火墙这些产品,带NG这些产品名称是它是下一代的安全产品。
在预测方面,大数据的态势感知和威胁情报的平台可以对威胁进行预测,最后是响应中心。响应一般需要对安全数据进行运维,所以它需要一个安全运维平台和安全日志管理系统。

我们看看EDR的定义,EDR是2013年由Gartner提出的一个概念,它的早期只是一个概念,后面是以EDR的形式出现。EDR强调的是一种能力,我们刚才前面看到的安全象限,在EDR的能力中都会有所体现,它强调的是一种能力,而不仅仅是个工具。
EDR如何工作?它通过在主机端上部署agent,然后由agent采集数据,然后对大量数据进行分类、进行处理,然后对事件进行定义的这样一个过程。
二、EDR架构

这是国内比较知名的深信服公司,提出基于业务层面的一个架构图,它把EDR的架构分成了三部分:最底下是基础平台,主机代理agent是用于部署在客户主机上的,恶意文件分析引擎和web控制台和SOC进行联动。
核心引擎部分,常见的行为引擎是通过对一些规则的静态或动态分析,以及机器学习的算法,然后配合威胁情报以及一些大数据的处理、CEP等引擎。对所有采集到的数据进行处理;功能展现部分,是最终展示给用户或者管理人员的展示台。
我们今天重点讨论的点是主机代理在功能展现上的技术点该如何实现。

标签:

发表评论

电子邮件地址不会被公开。 必填项已用*标注