Knowledge Base

Back to support overview

端点检测与响应(EDR) 是一种集成的端点安全解决方案,利用遥测数据来检测、分析并修复网络威胁。由 Malwarebytes ThreatDown 提供支持,EDR 能够阻止针对工作站和服务器的攻击,其安全性能可捕捉其他解决方案可能遗漏的威胁。

本文适用于所有使用端点检测与响应(EDR)服务的客户。

什么是端点检测与响应(EDR)?

端点检测与响应(EDR)是一类网络安全工具,旨在持续监控并实时应对针对端点设备的威胁。这些端点包括任何连接到网络的设备,如计算机、服务器、移动设备和物联网设备。EDR 解决方案在检测、分析和消除这些设备上的恶意活动方面至关重要。

核心功能

EDR 结合多种技术,为您的端点和服务器提供全面的安全防护,包括:

  • 持续监控:不断从端点收集数据,包括文件活动、网络连接、进程执行和系统注册表更改。

  • 数据分析:利用人工智能和机器学习技术分析收集到的数据,识别可能表明恶意活动的异常行为。

  • 威胁检测:识别潜在威胁,包括零日漏洞。

  • 自动响应EDR 可自动对发现的威胁做出响应,包括隔离文件和感染设备。

端点检测与响应(EDR)与端点防护(EPP)服务有何区别?

EDR 和 EPP 在保护设备的方式上有所不同。 EDR 是一种旨在实时检测、调查并响应高级威胁的解决方案。它提供对端点活动的全面可视化,使安全团队能够分析攻击的范围和性质。通过行为分析和机器学习技术,EDR 能识别已知威胁、零日漏洞、无文件攻击以及其他高级威胁。它还提供事件响应工具,例如隔离受感染设备或回滚恶意更改。

相比之下,基于签名的端点防护(EPP) 依赖预定义的威胁签名来检测和阻止恶意活动。它将文件或进程与已知恶意软件模式的数据库进行比对。虽然这种方法在防止已知威胁方面非常有效,但对于那些尚无对应签名的新型恶意软件可能存在不足。EPP 的主要目标是预防,而非调查或攻击后的响应。

如何访问端点防护与响应(EDR)

可以通过 TeamViewer Remote网页版应用程序 访问 EDR。在 远程管理 标签页下,点击 端点设备保护 部分即可进入。

如何查看特定设备的防护状态

查看某个设备状态的推荐方法是通过设备抽屉。 您可以在 TeamViewer Remote 的“设备”标签页或设备列表中点击设备名称来打开抽屉。

抽屉将会在右侧展开;选择带有盾牌和对勾图标的标签页,即可访问该设备的 EDR 信息。EDR 设备抽屉会显示该设备的基本信息,包括:

  • 应用的策略
  • Malwarebytes 设备名称与分组
  • 检测记录
  • 可疑活动

 

EDR 分为以下几个部分:

  • 设备
  • 检测
  • 隔离
  • 可疑活动
  • 报告

请在下方选择相应的标签,以获取每个部分的详细信息。

设备

在“设备”标签页中会显示所有设备的列表,并包含以下信息:

  • Nebula 名称
  • 分组
  • 设备状态
  • 状态
  • 上次扫描日期
  • 上次在线日期

任何需要关注的设备,其设备状态将显示为 “需要关注”

检测

“检测”标签页提供了终端设备上发现的所有威胁的概览。 在此标签页中的所有文件都已被识别、分析,并实时响应,从而最大限度地减少潜在损害。

如果出现误报,您可以通过选择该威胁并点击 +创建排除项 来自动创建排除规则。

每个威胁的信息包括以下内容:

  • 状态
  • 类别
  • 威胁名称
  • 设备及设备组
  • 扫描日期

点击威胁状态后会打开“威胁抽屉”,其中提供有关检测的更多详细信息,包括:

  • 被检测到的可执行文件/文件
  • 文件路径
  • 文件类型
  • 采取的操作
  • 威胁类别
  • 设备组
  • 扫描时间/报告时间戳

已被隔离的文件也可以通过“威胁抽屉”进行恢复或删除。

隔离

被隔离的文件是指与某些威胁特征或签名匹配的检测结果,但也可能是误报。 如果某个潜在威胁被隔离,您可以在此标签页中选择恢复删除该文件。

可疑活动

“可疑活动”功能通过监控端点上的进程、注册表、文件系统和网络活动,来识别潜在的恶意行为。 该监控机制利用机器学习模型和基于云的分析技术,在发生可疑行为时进行检测。

请注意:并非所有被检测到的活动都是恶意的,某些正常的系统操作也可能触发检测。

如何导出报告

端点检测与响应(Endpoint Detection and Response-EDR)提供多种报告,帮助您在需要时获取所需信息。 要创建报告,请进入 终端设备保护 的“报告”选项卡,并点击左上角的 +创建报告

为报告命名,并选择所需的报告类型。 接下来,输入所需的时区,然后点击“继续”。

如果您希望报告自动生成,请输入所需的计划频率(每月、每日或每周)。 您也可以将其设置为“按需生成”,仅在需要时运行。

设置所需的报告周期——即报告中要包含的日期范围。 您可以为每份报告设定一个预定义周期,或者在每次运行报告时手动输入时间段。

在最后一步中,添加需要接收报告的收件人。 点击“创建”以完成设置并运行初始报告。

生成并发送报告

无论是按需报告还是定期报告,您都可以通过选择所需报告并点击 ↻“生成并发送报告” 来按需运行任何报告。