终端威胁检测响应

启明星辰终端高级威胁检测与响应系统（EDR）详解

在当今数字化时代，网络安全威胁层出不穷，尤其是0day攻击、APT攻击和无文件攻击等高级威胁，对企业的信息安全构成了严峻挑战。传统的终端安全防护手段已难以应对这些新型威胁，因此，启明星辰集团推出了终端高级威胁检测与响应系统（EDR），旨在构建新一代的终端安全防护体系。

产品概述

启明星辰的EDR系统，以全量终端运行信息采集和业务资产盘点为核心，采用“数据随动机制”，动态调整信息输入输出内容，实现检测维度、响应方法和溯源视角的持续变化与优化。该系统能够快速构建终端安全防护，为终端提供持续的威胁检测与响应能力。

功能特点

终端资产盘点

EDR系统能够快速搜集并呈现网内资产信息，使保护对象清晰可见，解决了运维人员在资产统计上的困惑。

安全状态研判

系统提供持续动态风险评估能力，对合规基线、补丁、漏洞、配置脆弱性等问题进行综合研判，增强基础安全性，提高攻击门槛。

已知威胁检测

内置多重威胁检测引擎，有效检测恶意病毒、勒索病毒、挖矿病毒、web后门、恶意链接等安全问题，及时发现并定位威胁终端。

未知威胁检测

基于恶意行为、高危指令、敏感操作等信息的关联分析，使用ATT&CK攻击模型，对有动机的攻击行为进行早期检测，截断持续攻击链条。

全量信息采集

以终端黑盒子逻辑全量记录终端运行信息，为安全威胁发生时提供足够的信息支撑，便于前后文溯源分析。

终端威胁溯源

采用大数据技术进行日志关联分析，快速检索所需数据，有效溯源终端主机中的横向安全威胁，全路径、全周期追溯终端安全威胁。

技术优势

• 高OS覆盖：支持Windows全系列、主流Linux、主流国产化操作系统，实现终端安全维度的统一。
• 便捷安装：提供分发安装、推送安装、portal安装等多种安装方式，降低实施成本。
• 多引擎检测：内置多检测引擎，精准命中脆弱性、恶意代码、入侵、后门等威胁。
• 随动赋能：独有的数据随动机制，在增强终端威胁检测维度的同时降低终端资源消耗。

用户价值

EDR系统在资产、终端、威胁等不同维度检测并量化终端安全风险。通过全量信息采集能力，完整记录终端运行过程，为安全威胁发生时提供足够的信息进行回溯和定位。作为常态化终端产品，EDR协助进行安全运营的开展与落地，尤其在高频攻防对抗场景中，起到至关重要的作用，守护企业信息安全的最后一道防线。

结语

启明星辰集团的EDR系统，以其先进的技术优势和全面的安全防护功能，为企业提供了一个强大的终端安全解决方案。在面对日益复杂的网络安全环境，EDR系统无疑是企业维护信息安全、防范高级威胁的有力工具。