端点侦测与回应

端点侦测与回应（endpoint detection and response）简称EDR，也称为端点威胁侦测与回应（endpoint threat detection and response）是一种计算机安全技术，人们通过端点侦测与回应可以持续监控诸如手机、笔记本电脑、物联网设备等端点，以缓解恶意的网络威胁^[1][2][3]。

历史

高德纳咨询公司的Anton Chuvakin在2013年创建了“端点威胁侦测和回应”（endpoint threat detection and response）一词，是指“主要着重在侦测主机或端点上的可疑行动，对其调查并且追踪的工具 ”^[4]。此软件目前一般会称为“端点侦测和回应”（endpoint detection and response）。

依照Endpoint Detection and Response - Global Market Outlook (2017-2026)报告所述，基于云端及本地的端点侦测和回应方案，年成长率为26%，在2026年的产值为72亿美元^[5]。根据Zion Market Research所做的研究Artificial Intelligence (AI) in Cyber Security Market，2025年时，机器学习及人工智能将为网络安全创造300亿美元的市场^[6]。

概念

端点侦测与回应可用来侦测端点在网络中的可疑行为以及高级长期威胁，管理员也可以及时收到提醒。其作法是搜集并整合端点及其他来源的资料。有些资料可能会再加上额外的云端分析资料。端点侦测与回应方案一般主要会是网络安全警告工具，不是实际进行防护的工具，不过有些供应商也会加入防护的功能。端点侦测与回应的资料可以储存在中心化的数据库，或是传送到SIEM（英语：Security information and event management）工具^[7][8]。

各EDR平台的功能不完全相同，不过有些常见的功能，包括在线上模式以及离线模式监控端点、实时的对威胁进行回应、增加使用者资料的可视性以及透明度、监测已储存的端点事件以及恶意软件注入、产生黑名单以及白名单、以及和其他技术的整合等^[1][7]，有些EDR技术的供应商会用免费的MITRE ATT&CK分类及框架，来分析威胁^[9]。

相关条目

• 端点安全
• 资料泄漏防护软件（英语：data loss prevention software）
• 网络侦测与回应（英语：Network detection and response）（NDR）
• 延伸侦测与回应（英语：Extended detection and response）（XDR）
• 侦测与回应代管（英语：Managed detection and response）（MDR）