《网安面试指南》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

概述

EDR是什么，在了解EDR的过程中，突然发现还有这么多DR，到底都是啥？都是用来干啥的？它们之间有什么区别？DR（Detection and Response）是威胁探测与响应，前边的那一个字母，就代表不同的安全使用场景。

EDR

首先来聊一下EDR，全称为终端检测与响应（Endpoint Detection and Response），终端只要包括我们的笔记本、台式机、手机、服务器等，EDR是一种运行在终端上安全软件，主要负责监控网络流量、可疑进程、注册表活动等其他安全相关的事件与活动。当发现有威胁是自动响应或者通过告警信息通知安全团队采取行动，EDR主要针对保护终端设备威胁和恶意活动的安全解决方案。

NDR

NDR(Network Detection and Response)网络检测与响应，主要通过检测网络流量进行网络行为分析，发现网络威胁和恶意活动。NDR专注保护网络威胁和恶意活动的安全解决方案。

MDR

MDR（Managed Detection and Response）托管检测与响应，主要提供7*24的基于威胁情报的威胁检测和响应服务。还可以提供安全情报分析、威胁分析、响应支持等。主要针对资源相对较少的组织，提供的一种威胁和恶意活动检测和响应服务。

XDR

XDR（Extended Detection and Response）扩展检测与响应，主要通过扩大收集数据来源，增加威胁检测与响应准确度和时效性。主要数据收集来源包括网络、应用程序、云平台、邮件、终端等，通过整合多数据源来提供更加全面实时准确的威胁检测与响应安全解决方案。

它们之间的异同点

它们之间的相同点就是围绕威胁和恶意活动，提供威胁检测和响应的安全解决方案。不同点就是服务的侧重点不同，EDR侧重端点检测和响应、NDR侧重网络威胁检测和响应、XDR既包括网络也包括端点以及其他的数据来源，提供更全面的威胁检测与响应、MDR是一种提供给资源有限组织针对威胁检测和响应的安全服务。