● 需求來源

近年來，針對終端設(shè)備的攻擊層出不窮，這些攻擊大多會利用操作系統(tǒng)上未公開的漏洞，由于傳統(tǒng)的防護(hù)手段在面臨APT、0day等高級攻擊時，無法形成有效防御。因此，面對新型攻擊手段和未知安全漏洞，終端安全亟需打破傳統(tǒng)防御思路，從技術(shù)上主動發(fā)現(xiàn)、識別各類已知和未知安全威脅，及時阻斷網(wǎng)絡(luò)入侵行為，同時提供一種安全防護(hù)托底的手段，在安全事件發(fā)生后，對安全事件進(jìn)行取證分析和追蹤溯源。

Gartner將EDR（Endpoint detection and response，端點檢測和響應(yīng)）定義為“記錄和存儲端點系統(tǒng)級行為的解決方案，使用各種數(shù)據(jù)分析技術(shù)檢測可疑系統(tǒng)行為，提供上下文信息，阻止惡意活動，并提供修復(fù)建議以恢復(fù)受影響的系統(tǒng)。主要功能包括：檢測安全事件、調(diào)查安全事件、在端點上遏制安全事件、將端點修復(fù)到感染前狀態(tài)。

● 解決方案

聯(lián)軟終端檢測與響應(yīng)系統(tǒng)是聯(lián)軟科技基于Gartner提出EDR概念結(jié)合CARTA“持續(xù)自適應(yīng)風(fēng)險與信任”安全模型開發(fā)的，用于解決終端高級威脅攻擊、威脅攻擊溯源及協(xié)助企業(yè)持續(xù)化改進(jìn)的終端安全管控平臺。產(chǎn)品可通過現(xiàn)有聯(lián)軟EPP管控平臺進(jìn)行擴(kuò)展，在統(tǒng)一管理平臺統(tǒng)一客戶的基礎(chǔ)上，實現(xiàn)安全能力互補(bǔ)，發(fā)現(xiàn)威脅、處置威脅、分析威脅、持續(xù)化改進(jìn)終端安全管理配置。

聯(lián)軟EDR通過持續(xù)監(jiān)測采集各種類型端點上的行為信息和運(yùn)行狀態(tài)，并通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)，對端點的相關(guān)數(shù)據(jù)進(jìn)行持續(xù)性的關(guān)聯(lián)行為分析、威脅檢測、高級威脅分析等，并提供事件響應(yīng)處置、追蹤溯源、調(diào)查取證等功能，從而實現(xiàn)對終端從預(yù)測、防護(hù)到檢測、響應(yīng)的全生命周期的持續(xù)性安全防護(hù)，為終端提供積極主動的防護(hù)能力。