端點(diǎn)檢測和響應(yīng)(EDR)產(chǎn)品為IT人員提供端點(diǎn)可視性，以檢測惡意行為，分析數(shù)據(jù)以及提供適當(dāng)?shù)膽?yīng)急響應(yīng)。EDR是新型安全市場的一部分，Carbon Black、Cisco、CrowdStrike 以及FireEye等全球知名廠商都在加快對該領(lǐng)域的部署，以搶占市場份額。

如今，提到EDR就不免會接觸到“威脅捕獲(threat hunting)”這一術(shù)語，它是指通過搜索大量數(shù)據(jù)這一過程，以發(fā)現(xiàn)威脅行為者或新型攻擊的跡象，而不是依賴已知的威脅簽名。它是威脅情報(bào)和大數(shù)據(jù)分析相結(jié)合的產(chǎn)物。威脅捕獲是綜合EDR解決方案的關(guān)鍵組成部分，同時(shí)也是EDR和端點(diǎn)保護(hù)平臺(EPP)這兩種易混淆概念的關(guān)鍵區(qū)別。

[[229975]]

然而，EDR解決方案也正在經(jīng)歷一個變化周期。2016年，Gartner指出，

但是Gartner 2017年端點(diǎn)保護(hù)平臺魔力象限又指出：

以下是安全專家就購買EDR解決方案前應(yīng)該問自己的10個問題作出的解答：

1. 你想解決什么業(yè)務(wù)問題?

評估EDR解決方案的第一步就是“確定你想解決的問題”。對于大型組織的首席信息官(CIO)來說，其主要任務(wù)就是為安全運(yùn)營中心(SOC)配置適當(dāng)?shù)墓ぞ咭越鉀Q問題。但是要牢記：安全不僅僅是工具的問題，同時(shí)還是人的問題。遲早會有人因?yàn)殄e誤配置系統(tǒng)的問題，使得企業(yè)遭受新型或高級持續(xù)性威脅(APT)危害。因?yàn)椋词故亲詈玫木W(wǎng)絡(luò)可視化工具，也不能完全阻止一個動機(jī)明確且訓(xùn)練有素的對手。

FireMon公司的首席技術(shù)官Paul Calatayud對此也表示贊同，但其進(jìn)一步補(bǔ)充道，這一觀點(diǎn)同樣適用于較小的組織。他表示，

2. 什么是EDR解決方案的數(shù)據(jù)回溯期?

一個EDR解決方案必須提供超過實(shí)時(shí)(point-in-time)的數(shù)據(jù)才能生效。他建議尋找一個可以提供至少30天的實(shí)時(shí)數(shù)據(jù)進(jìn)行分析的解決方案。有些供應(yīng)商甚至可以從檔案庫中提供90天到一年的歷史數(shù)據(jù)用于調(diào)查目的。

3. EDR解決方案是否集成威脅情報(bào)平臺和其他現(xiàn)有工具?

因?yàn)镋DR工具旨在協(xié)助進(jìn)行威脅捕獲，所以對于這些工具而言，與威脅情報(bào)源或平臺相集成，以快速分析威脅指標(biāo)(indicators of compromise，IOC)是非常重要的。

安全平臺通常有很多工具，那么你如何從管理門戶中獲取數(shù)據(jù)呢?EDR工具需要與現(xiàn)有工具(包括防病毒工具)集成。此外，在你購買EDR解決方案前，了解該EDR方案集成了哪些工具也是非常重要的。

4. EDR解決方案需要多少資源來支持該技術(shù)?

實(shí)施和運(yùn)行EDR解決方案可能會非常麻煩。您可能需要參加培訓(xùn)，并與供應(yīng)商的工程師合作才能將其啟動并運(yùn)行。如此一來，它可能需要花費(fèi)許多時(shí)間和大量的資源，以實(shí)現(xiàn)可視化運(yùn)行、學(xué)習(xí)破譯結(jié)果以及確定如何在必要時(shí)進(jìn)行故障排除。

在評估任何安全解決方案時(shí)，重要的是要了解該解決方案是否會通過要求大量的支持來減損您的資源，而不是允許您的團(tuán)隊(duì)像一個消費(fèi)者一樣，專注于解決方案中的數(shù)據(jù)。

建議潛在買家要仔細(xì)考慮如下問題：為了使這個工具產(chǎn)生價(jià)值，我需要做什么?分析師需要做什么?誰將對警報(bào)做出響應(yīng)?EDR需要人員、流程和工具，但工具只是其中的一部分。

5. 該解決方案是否會破壞端點(diǎn)?

要提防那些在代理部署或威脅調(diào)查期間會破壞端點(diǎn)的解決方案。為了解決這個問題，Clayton建議使用內(nèi)核級代理的解決方案。

6. 該解決方案支持哪些操作系統(tǒng)?

在企業(yè)環(huán)境中混合使用Microsoft和Macintosh計(jì)算機(jī)是很常見的問題，必須確保所有端點(diǎn)的覆蓋范圍包含服務(wù)器操作系統(tǒng)類型。他補(bǔ)充道，EDR需要能夠?qū)Νh(huán)境可見化，例如，一個解決方案可能支持Windows，但不支持Linux，所以，必須確保你所需的解決方案支持您的系統(tǒng)和補(bǔ)丁計(jì)劃。

7. 我應(yīng)該注意哪些可擴(kuò)展性問題?

EDR買家在擴(kuò)展的環(huán)境中查詢管理問題。例如，與30,000個端點(diǎn)相比，3000個端點(diǎn)的管理入口有什么不同?要求潛在供應(yīng)商描述他們最大的部署和涉及的端點(diǎn)/代理的數(shù)量。

8. 解決方案是否提供工作流報(bào)告或與其他票務(wù)系統(tǒng)交互?

可用性是任何安全解決方案的重要組成因素。IT資源一直都是很少的，一個包含報(bào)告儀表板或集成到其他票務(wù)系統(tǒng)的解決方案會使生活變得更加便捷，但是一個不易操作的解決方案也是一種風(fēng)險(xiǎn)，因?yàn)橛脩艨赡軙械嚼Щ螅^而選擇放棄該解決方案。

9. 該解決方案是否提供“多租戶(multitenancy)”技術(shù)?

基于云的解決方案經(jīng)常使用“多租戶技術(shù)”來保持客戶的獨(dú)立性。Raim表示，EDR客戶經(jīng)常說他們不想要多租戶技術(shù)，但當(dāng)他們意識到該技術(shù)能為他們做什么時(shí)，他們會愿意使用該技術(shù)。借助“多租戶技術(shù)”，客戶可以分離自己的基礎(chǔ)設(shè)施(如城市或業(yè)務(wù)單元)，以實(shí)現(xiàn)更好的組織、控制和靈活性。但是這一決定必須要提前確定，因?yàn)楦难b多租戶技術(shù)是非常困難的。

10. 我的組織是否能夠負(fù)擔(dān)起一個EDR解決方案?

考慮到企業(yè)SOC的成本很容易達(dá)到300萬到500萬美元，Raim指出，一些客戶主要專注于”find and forget(發(fā)現(xiàn)并忘記)“解決方案，因?yàn)樗鼈兊膬r(jià)格實(shí)惠得多。一個管理服務(wù)可以為客戶提供EDR功能，包括分析師輸入(analyst input)，減少客戶對內(nèi)部專業(yè)知識的需求。這些類型的服務(wù)可能會在可預(yù)測的12、24或36個月的合同中推出，或者成本可能會根據(jù)組織的架構(gòu)和基礎(chǔ)設(shè)施需求而波動。