【信息安全】EDR、HIDS、NDR、MDR、XDR 区别与联系

news2024/12/28 3:14:30

【前言】

        随着安全态势的发展,为应对不同的安全防御场景需求,安全产品层出不穷,各大安全厂商也争先推出自家的安全产品/平台,这就导致产品种类繁多,信息量大而杂,本篇博文重点讲解EDR、HIDS、NDR、MDR和XDR的区别与联系,与各位共勉。

【EDR】

        (Endpoint Detection & Response,EDR)中文翻译为:端点检测与响应。

        顾名思义,EDR主要使用场景为终端,不仅具备检测功能还具备处置能力,可以发现终端上的风险并自动处置。

        说到终端防护,常见的杀毒引擎就不能不谈,市面上成熟的商业杀毒软件一般是基于文件签名来发现风险,重点在于对“落盘文件”的查杀,这种检测机制很容易被绕过,这也是早年间各种木马变种较多的原因,所以这种检测手段是不稳妥的,无法适用日益复杂的安全环境。

        Gartner 于 2013 年定义了这一术语,被认为是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行分析,并作出快速响应。为终端安全的未来发展指明了新的方向。

        EDR与传统杀毒引擎的最本质区别在于,EDR是基于文件行为做分析并响应,而传统杀毒大部分还是停留在文件签名,如MD5 的检验上。

        EDR可以做的事情很多,大型企业一般要求核心部门的终端100% EDR覆盖,其他部门逐步推动,实现全覆盖。

图源来自网络 如侵权联系删除
图源来自网络 如侵权联系删除

        EDR可以提取终端的元数据,包括CPU、内存、网卡(IP、MAC)、操作系统、安装软件、硬件数据、Device数据等。还有一些网络信息,比如终端设备上的DNS和ARP表以及其它实时网络数据、开放的端口以及相关的进程数据、终端的网络连接数据、可访问终端的URL数据等。
        用户操作的一些信息、包括用户登录注销数据、(IPC)数据、进程行为数据(例如数据读写)等。存储数据检测:文件(通常只包含特定的文件或者可执行文件)以及文件元数据(比如文件名/大小/类型、校验和等)、文件变更信息、syslog、主引导记录(MBR)信息等。

        此外EDR还具备其他数据的检测,比如加载的DLL、激活的设备驱动程序、已加载的内核模块、CMD或者PowerShell历史命令等数据。

        所以EDR的出现,很大程度提高了终端安全的“安全标准线”。

【HIDS】

        (Host-based Intrusion Detection System,HIDS),中文翻译为:主机型入侵检测系统。

        HIDS实际是传统入侵检测系统,IDS的升级,从网络流量层面到主机流量层面检测的升级。

        HIDS的优势在于使用用户基本无感,基于agent的安装方式以及逻辑旁路风险检测的机制,可以在不影响用户使用和保证业务稳定的同时,实现本地的安全监测。

        在大型的攻防演练中,HIDS往往可以发挥奇效,在靶标网络边界区域部署HIDS,可以快速检测到异常行为,由于是基于本地agent的实时反馈,误报率较低,实战效果非常好。

图源来自网络 如侵权联系删除

图源来自网络 如侵权联系删除

 【NDR】

NTA (Network Traffic Analysis) 网络流量分析这个概念在2013年被提出,NTA是一种网络威胁检测的技术,而NDR(Network Detection and Response)是在检测的基础上加入了流量响应能力,正因为可以对流量进行清洗,很多厂商也会将该解决方案应用于防DDOS 攻击。

图源来自网络 如侵权联系删除

图源来自网络 如侵权联系删除

 【MDR】

(Managed Detection & Response,MDR),托管检测与响应服务。

MDR 是一整套解决方案,不是一类或者一套产品可以完成的。MDR是一套缓冲机制,企业安全从业人员不足的情况下,可以选择MDR的解决方案。这种安全即服务(SaaS)产品使公司可以访问外部分析师,这些分析师掌握所有XDR功能的专业知识,能够连续、有效地接收告警事件并确定事件的优先级,从而减轻了内部IT团队的分流负担,并在误报事件升级之前调查高风险事件,从而减少误报,同时为企业提供最新的情报。

 【XDR】

(Extended Detection and Response,XDR),可拓展威胁检测与响应。

更像是组合拳,集合多种安全能力,进行功能拓展和场景定制化,XDR与更传统的安全行业主打产品,安全信息和事件管理产品(Security,Information, and EventManagement,SIEM)相似,为具有多个不同分析人员和控制台的企业提供了方案。通过SIEM,企业期望通过汇总所有控制台并将所有内容(包括入侵信息)放在一个地方来消除这些低效率的问题。因此,SIEM和XDR从本质上讲是相同的,并且受同一问题的困扰:即企业需要精通这些工具的人员,以从中获得收益。

图源网络 如侵权联系删除

感谢阅读。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/417935.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LinuxGUI自动化测试框架搭建(二)- 详细设计框架设计

(二)-详细设计&框架设计1 需求分析2 技术栈3 框架设计3.1 框架说明3.2 框架执行流程4 预期结果4.1 测试过程log日志4.2 测试报告html格式4.3 测试报告邮件格式1 需求分析 对 实现需求 进行详细分析,主要有下: 功能说明使用U…

经典文献阅读之--FastFlowNet(轻量光流估计)

0. 简介 密集的光流估计在许多机器人视觉任务中起着关键作用。随着深度学习的到来,已经比传统方法以令人满意的精度预测了它。然而,当前的网络经常占用大量参数并且需要沉重的计算成本。这些缺点阻碍了在功率或内存受限的移动设备上的应用。为了应对这些…

Apache 网页优化与防盗链

目录 一、Apache网页优化概述 二、gzip介绍 Apache的压缩模块 配置网页压缩功能 1.检查是否安装 mod_deflate 模块 2.编译安装 Apache 添加 mod_deflate 模块 3.配置 mod_deflate 模块启用 4.检查安装情况,启动服务 5.测试 mod_deflate 压缩是否生效 三. 网页缓…

ChatGPT 不算新技术革命,带不来什么新机会

有人说:一个人从1岁活到80岁很平凡,但如果从80岁倒着活,那么一半以上的人都可能不凡。 生活没有捷径,我们踩过的坑都成为了生活的经验,这些经验越早知道,你要走的弯路就会越少。

DM8:达梦数据库REDO日志损坏修复

DM8:达梦数据库REDO日志损坏修复环境介绍1 启动数据库报错 CODE-7232 查看原实例(5237)初始化参数3 初始化相同参数的新数据库启停新库4 使用 dmmdf 工具 查看帮助5 查看原库(5237)的 db_magic6 修改新库(5236) REDO 日志的 db_magic 值6.1 新库(5236) DAMENG01.log6.2 新库(52…

浙江美格机械股份有限公司董事长——刘国方

现实工作与理想中的方向大相径庭 怎样从工作经历中汲取养分,磨练自身? 学历不高,自身敲门砖不硬 该如何努力才能弥补自身的学历短板? 想为传统企业焕发新生机 该如何在传统行业中搭建新平台? 观看本期节目和我一起寻找答案&#…

burp插件jsEncrypter使用,爆破密码被自定义算法加密

暴力破解的时候,密码一般都是进行了加密 普通的base64、md5等编码,burp里面都有,如果是自定义的密码算法,我们该如何使用burp进行爆破呢? webapp,关于密码学的一个简单靶场 抓包,被加密了。假…

【WCH】基于Keil环境CH32F203 GPIO点灯实验

【WCH】基于Keil环境CH32F203 GPIO点灯实验📌相关篇《关于CH32F203程序下载方式说明》⚡注意编译器版本不要使用AC6版本。 ✨如果是首次入门使用,请先看上面的相关篇内容,了解其下载相关事宜后,再进来学习。 📑GPIO模式…

15个前端数据大屏展示图+源代码免费下载

https://download.csdn.net/download/wanghongpu9305/87658655?spm1001.2014.3001.5503 https://download.csdn.net/download/wanghongpu9305/87658730?spm1001.2014.3001.5503 https://download.csdn.net/download/wanghongpu9305/87684844?spm1001.2014.3001.5503 http…

windows Linux :python 脚本 下载日本葵花8号卫星数据L1级产品,自定义分辨率、时间

前言介绍 近期需要用到日本葵花8号卫星数据,用于相关研究,而通过官方提供的下载方法,难以针对性的下载所需要的数据类型,因此这里编写了一个针对葵花8号卫星L1级数据产品的脚本下载,主要实现两个功能:1、自…

为docker安装图形界面和配置远程桌面连接

由于远程桌面访问必须要打开端口3389,所以在启动docker中ubuntu系统的时候要首先将linux系统的3389端口映射出来 docker run -tid -p 3389:3389 --name ceshi --privilegedtrue ceshi /bin/bash 接下来进入到ubuntu中 docker exec -it ceshi /bin/bash 首先安装X…

查找 | 顺序查找、分块查找、二分查找、哈希查找 | 牛客刷题笔记

查找 就平均查找速度而言,下列几种查找速度从慢至快的关系是:顺序、分块、折半、哈希。 顺序查找的时间复杂度为o(n) 分块查找的时间复杂度为o(log2n)到o(n)之间 二分查找的时间复杂度为o(log2n) 哈希查找的时间复杂度为o(1) 用概率查找改进查找效率&am…

本周热门chatGPT之AutoGPT-AgentGPT,可以实现完全自主实现任务,附部署使用教程

AutoGPT 是一个实验性的开源应用程序,它由GPT-4驱动,但有别于ChatGPT的是,​ 这与ChatGPT的底层语言模型一致。 ​AutoGPT 的定位是将LLM的"思想"串联起来,自主地实现你设定的任何目标。 简单的说,你只用提出…

界面组件Telerik ASP.NET MVC使用指南 - 如何自定义网格过滤

Telerik UI for ASP. NET MVC拥有使用JavaScript和HTML5构建网站和移动应用所需的70UI部件,来满足开发者的各种需求,提供无语伦比的开发性能和用户体验。它主要是针对专业级的 ASP.NET开发,通过该产品的强大功能,开发者可以开发出…

消息队列面试题-RocketMQ

1.为什么要使用消息队列? 2.消息队列有什么优点和缺点? 3.如何解决重复消费? 幂等性: 概念:一次和多次请求某一个资源对于资源本身应该具有同样的结果(网络超时等问题除外)。也就是说&#xf…

前端项目-09-购物车-游客列表-变更选中状态-删除

目录 1-加入购物车成功 2-购物车成功页面跳转 3-游客身份获取购物车列表 4-动态渲染购物车列表 5-处理商品数量 6-删除购物车商品 6.1-删除购物车单个商品 6.2-删除全部选中商品 7-修改产品状态 7.1-修改单个产品的状态​编辑 7.2-修改多个产品的状态 1-加入购物车成功…

【2023】分享一份网友的Linux运维面试题

原只有问题,没有答案。答案是我整理的,如发现有什么问题可以在评论区留言告诉我!目录1.grep如何查找一个字符串如何忽略大小写2.kill -9和kill -15有什么区别3.简单描述一下TCP的建立和断开4.Linux服务在什么情况下CPU使用率会超过100%5.服务…

【机器学习(四)】基于KNN算法对鸢尾花类别进行分类预测

文章目录专栏导读1、KNN算法原理2、实战案例-对鸢尾花类别分类预测2.1确定特征和类别2.2对特征进行处理2.3对模型调参,选择最优参数2.4使用分类模型进行预测2.5评估模型,检验模型效果3、完整代码及结果专栏导读 ✍ 作者简介:i阿极&#xff0c…

nginx-代理多个服务

目录 1.主机多Ip 1.1单网卡多ip主机配置 1.2修改default.conf 1.3server1.conf 1.3server2.conf 1.4测试文件 1.4重启测试 2.主机多端口 2.1server1.conf 2.2server2.conf 3.多域名代理 3.1server1.conf 3.2server2.conf 1.主机多Ip 1.1单网卡多ip主机配置 # 查看…

echart图表渲染合并策略

目录 调用方式 notMerge 普通合并 规则 例子 替换合并 规则 例子 echarts渲染函数setOption 调用方式 chart.setOption(option, {notMerge: boolean;replaceMerge?: string | string[];lazyUpdate: boolean; }); notMerge false (默认) 如果…