端點偵測與回應

端點偵測與回應（endpoint detection and response）簡稱EDR，也稱為端點威脅偵測與回應（endpoint threat detection and response）是一種計算機安全技術，人們通過端點偵測與回應可以持續監控諸如手機、筆記本電腦、物聯網設備等端點，以緩解惡意的網路威脅^[1][2][3]。

歷史

高德納諮詢公司的Anton Chuvakin在2013年創建了「端點威脅偵測和回應」（endpoint threat detection and response）一詞，是指「主要著重在偵測主機或端點上的可疑行動，對其調查並且追蹤的工具 」^[4]。此軟體目前一般會稱為「端點偵測和回應」（endpoint detection and response）。

依照Endpoint Detection and Response - Global Market Outlook (2017-2026)報告所述，基於雲端及本地的端點偵測和回應方案，年成長率為26%，在2026年的產值為72億美元^[5]。根據Zion Market Research所做的研究Artificial Intelligence (AI) in Cyber Security Market，2025年時，機器學習及人工智慧將為網路安全創造300億美元的市場^[6]。

概念

端點偵測與回應可用來偵測端點在網路中的可疑行為以及高級長期威脅，管理員也可以及時收到提醒。其作法是蒐集並整合端點及其他來源的資料。有些資料可能會再加上額外的雲端分析資料。端點偵測與回應方案一般主要會是網路安全警告工具，不是實際進行防護的工具，不過有些供應商也會加入防護的功能。端點偵測與回應的資料可以儲存在中心化的資料庫，或是傳送到SIEM（英語：Security information and event management）工具^[7][8]。

各EDR平台的功能不完全相同，不過有些常見的功能，包括在線上模式以及離線模式監控端點、實時的對威脅進行回應、增加使用者資料的可視性以及透明度、監測已儲存的端點事件以及惡意軟體注入、產生黑名單以及白名單、以及和其他技術的整合等^[1][7]，有些EDR技術的供應商會用免費的MITRE ATT&CK分類及框架，來分析威脅^[9]。

相關條目

• 端點安全
• 資料洩漏防護軟體（英語：data loss prevention software）
• 網路偵測與回應（英語：Network detection and response）（NDR）
• 延伸偵測與回應（英語：Extended detection and response）（XDR）
• 偵測與回應代管（英語：Managed detection and response）（MDR）