什么是edr？与传统终端安全产品有何区别？

EDR（Endpoint Detection and Response）是指终端检测与响应，是一种在终端进行活动检测，并及时做出响应的能力，是由企业风险管理和安全管理的补充。
传统的终端安全产品，主要针对木马、病毒等安全威胁，利用黑白名单、病毒筛查器等方式，对安全事件进行进行预防，而EDR 则强调发现未知攻击行为和能够实现在端点环境中的自我治疗等功能。通过静态及动态的安全分析，执行沙箱技术，实现那些即便扫描不到的安全软件隐蔽在终端上的安全威胁的发现。结合深度学习/机器学习等技术，建立不断演化的安全防护体系，进而可以有效阻止暂未见识的安全威胁。
EDR 与传统终端安全产品具有很大一部分的区别，主要体现在攻击检测、防护性以及可拓展性三个方面。
（一）攻击检测
EDR 的攻击检测技术拥有良好的检测能力，可以识别终端上存在的恶意文件，针对未知攻击行为更有效的发现攻击，实现提前预传输的功能，可以提前发现和及时应对攻击，帮助企业避免数据泄露，可以在大规模受攻击时，快速定位漏洞，发现已经被攻击的服务器。
传统的终端安全产品，主要静态防护功能，对静态攻击行为可以起到相应的防范作用，但对于动态攻击行为并不能及时发现攻击，数据处于更高的风险之中。
(二）防护性
EDR 实现深度自我保护，具有更多 技术发现威胁，包括行为分析、异常检查、主机实时嗅探等，可以在终端发生攻击前实施一定的屏蔽技术，在端点做出有效的反应，避免数据泄露。
传统的终端安全产品，针对攻击行为只能进行一定程度的防护，只能采取屏蔽或者阻断的措施，而EDR 技术则能够实现更多的防护性功能，且可以根据攻击起原，实施有效措施避免事态扩大。
（三）可拓展性
EDR 技术具有较高的可拓展性，通过和现有系统结合，可以增加不同功能的综合检测和响应实现，可以有效解决企业的保护要求，EDR还可以进行统一部署，节省安装成本和改进安装过程，可以有效减少企业的保 chaos的成本。
传统的终端安全产品，只支持对安全应用的实施，但对于性能和扩展功能没有很好的支持，也无法满足企业安全保护要求。
总结起来，EDR 与传统终端安全产品有较大的不同， EDR具有较强的攻击检测能力、更强的防护性以及良好的可拓展性，能够更好的满足企业保护要求。
EDR，全称为Endpoint Detection and Response，即终端检测响应，是一种针对终端安全的预防、检测、响应技术。它是基于终端（Endpoint）实时指纹认证、行为检测和处置木马攻击技术来检测终端可疑行为，及时分析生成报告，避免安全威胁扩散，最终保障终端安全。相比传统的终端安全产品，EDR有以下不同之处：
（一）保护范围更广
一般传统的终端安全产品，只是针对客户端保护功能，如病毒、木马等病毒的保护，而EDR的保护范围广。它不仅可以针对以上的客户端病毒而提供实时的监测和防护功能，还可以针对网络流量、主机进程、系统行为和用户行为等提供全方位的实时监测和检测，并能够提供跟踪分析异常行为，以及追踪来源和防止攻击的功能。

（二）符合MDR的渗透检测方式
EDR的渗透检测模式符合MDR（Managed Detection and Response）服务中的渗透测试方法，可以通过安全检测工具、样本分析、虚拟机检测等采集非法访问信息，并及时触发响应机制，以解决可疑攻击事件。
（三）实时获取分析信息
EDR可以实时获取客户端和服务器端的可疑事件报警信息、网络安全报警信息、操作审计报警信息等，并可以分析出完整的攻击链路，从而为攻击行为及威胁对象的分析提供实时的网络安全报警、元数据等完整的详细信息，及时检测并及时应对各种安全威胁，如持续入侵(APT)、企业网络攻击等，确保数据安全可靠性；
（四）提供联动服务
EDR可以与其他安全管理系统，如网络安全防火墙、身份认证系统等进行联动运作，以提供更加安全的安全服务，实现企业内网中复杂的安全需求；
总之，EDR具有比传统安全终端更加完善的安全保护功能和技术，可以实现企业的安全管理，最终达到及早发现、实时响应的目的，尽可能地杜绝可能的安全漏洞与威胁，以提高企业安全保护水平。