네트워크 보안에서 edr은 무엇을 의미합니까?

네트워크 보안에서 EDR은 "엔드포인트 탐지 및 대응"을 의미합니다. 이는 실시간 모니터링과 자동 위협 대응 메커니즘을 사용하여 터미널 및 네트워크 이벤트를 기록하여 엔드포인트 보안 데이터를 수집하는 기능을 포함하는 사전 예방적 엔드포인트 보안 솔루션입니다. 이러한 정보는 엔드포인트에 로컬로 저장되거나 데이터베이스에 중앙 집중식으로 저장됩니다. EDR은 알려진 공격 지표, 행동 분석 데이터베이스를 수집하여 지속적으로 데이터를 검색하고 기계 학습 기술을 수집하여 가능한 모든 보안 위협을 모니터링하고 이러한 보안 위협에 신속하게 대응합니다.

이 튜토리얼의 운영 환경: Windows 7 시스템, Dell G3 컴퓨터.

EDR(엔드포인트 감지 및 대응)은 터미널 및 네트워크 이벤트를 기록하고 이 정보를 엔드포인트에 로컬로 저장하거나 데이터베이스에 중앙 집중식으로 저장하는 사전 예방적 엔드포인트 보안 솔루션입니다. EDR은 알려진 공격 지표, 행동 분석 데이터베이스를 수집하여 지속적으로 데이터를 검색하고 기계 학습 기술을 수집하여 가능한 보안 위협을 모니터링하고 이러한 보안 위협에 신속하게 대응합니다. 또한 공격 범위를 신속하게 조사하고 대응 능력을 제공하는 데 도움이 됩니다.

Capability

• 예측: 위험 평가(위험 평가), 위협 예측(위협 예측), 기본 보안 상태.

• 보호: 시스템 강화(시스템 강화), 시스템 격리(시스템 격리), 공격 방지(공격 방지).

• 탐지: 사고를 감지하고 위험의 우선순위를 지정합니다. 사건을 담고 있습니다.

• 대응: 문제를 해결하고 설계 정책을 변경합니다.

보안 모델

엔드포인트 보안 보호를 위해 미리 설정된 보안 정책을 사용하는 정적 방어 기술에 비해 EDR은 위협 탐지 및 대응 포렌식 기능을 강화하고 엔드포인트 이벤트를 빠르게 감지, 식별, 모니터링 및 처리할 수 있습니다. 위협이 피해를 입히기 전에 탐지하고 차단하여 보호된 네트워크가 제로 데이 위협과 다양한 새로운 위협으로부터 보호할 수 있도록 지원합니다. 보안 모델은 그림에 나와 있습니다.

1. 자산 검색

전체 네트워크의 모든 엔드포인트를 포함하여 능동 검색, 수동 검색, 수동 입력 및 수동 검사를 통해 현재 네트워크의 모든 소프트웨어 및 하드웨어 자산을 정기적으로 수집합니다. 네트워크 자산, 사용 중인 소프트웨어 이름 및 버전을 확인하여 전체 네트워크에 보안 사각지대가 없도록 합니다.

2. 시스템 강화

정기적인 취약점 스캔, 패치, 업데이트를 실시하고 보안 정책을 더욱 구체화하고, 화이트리스트를 통해 현재 승인되지 않은 소프트웨어를 실행하고, 방화벽 제한을 통해 승인을 위해 서버 포트 및 서비스를 개방해야 합니다. 내부직원의 계좌번호, 비밀번호, 권한정보 등을 정기적으로 확인, 수정, 정리하는 것이 가장 좋습니다.

3. 위협 탐지

엔드포인트에서 로컬 호스트 침입 탐지를 통해 이상 행위 분석을 수행하고, 다양한 보안 위협 발생 전, 발생 중, 발생 후에 이에 대한 보호 및 탐지 조치를 취합니다.

4. 대응 포렌식

전체 네트워크에 걸쳐 보안 위협을 시각적으로 표시하고 위협을 자동으로 격리, 복구 및 구조하여 사고 대응 및 포렌식 임계값을 낮춰 외부 전문가 및 포렌식 분석에 의존하지 않고도 비상 대응을 완료할 수 있습니다.

기능

• 보안 사고 조사

• 엔드포인트를 감염 전 상태로 교정

• 보안 사고 감지; 엔드포인트 이벤트 유지

작업 원리

EDR 기술이 설치되면 EDR은 고급 알고리즘을 사용하여 시스템에서 개별 사용자의 행동을 분석하고 그들의 활동을 기억하고 연결합니다. 시스템에서 특정 사용자의 비정상적인 행동을 감지하면 악의적인 행동의 징후를 방지하기 위해 데이터가 필터링되며, 이러한 징후는 경보를 실행하고 공격이 사실인지 거짓인지 판단합니다.

악성 활동이 감지되면 알고리즘은 공격 경로를 추적하여 진입점으로 다시 구축합니다. (상관 추적)

이 기술은 모든 데이터 포인트를 MalOps(악성 작업)라는 좁은 범주로 결합하여 분석가가 더 쉽게 볼 수 있도록 합니다.

실제 공격이 발생하는 경우 고객에게 알림이 전달되고 추가 조사 및 고급 포렌식을 위한 실행 가능한 대응 단계와 권장 사항이 제공됩니다. 허위알람일 경우 알람은 꺼지고 조사기록만 추가되며 고객에게 통보되지 않습니다

시스템 프레임워크

EDR의 핵심은 다음과 같습니다. 한편으로는 바이러스 서명을 기반으로 하는 기존 블랙리스트와 엔드포인트 정적 방어 기술을 사용하여 알려진 위협을 차단합니다. 한편, 클라우드 위협 인텔리전스, 머신러닝, 이상 행위 분석, 공격 지표 등을 통해 외부 또는 내부의 다양한 보안 위협을 선제적으로 발견할 수 있습니다. 이와 동시에 엔드포인트의 백그라운드 데이터, 악성코드 행위, 지능형 위협의 전체 라이프사이클을 기반으로 종합적인 탐지 및 대응이 이루어지며, 자동화된 차단, 포렌식, 치료, 추적 기능이 수행되어 엔드포인트를 효과적으로 보호합니다.

EDR에는 다음이 포함됩니다. 엔드포인트, 엔드포인트 탐지 및 대응 센터, 시각적 표시 세 부분 시스템 프레임워크는 그림과 같습니다.

엔드포인트: EDR에서 엔드포인트에는 정보 보고만 있습니다. 보안 강화, 행위 모니터링, 능동 파일 모니터링, 신속 대응, 보안 포렌식 등 기본 기능은 엔드포인트 운영 정보를 엔드포인트 탐지 및 대응 센터에 보고하는 동시에 발행된 보안 정책, 대응, 포렌식 지시를 실행하는 역할을 담당합니다. .

엔드포인트 탐지 및 대응 센터: 자산 검색, 보안 강화, 위협 탐지, 대응 포렌식 및 기타 센터로 구성됩니다.

시각화: 다양한 엔드포인트 보안 위협에 대한 실시간 가시성과 제어 가능성을 표시하고, 보안 위협 발견 및 처리의 복잡성을 줄이고, 사용자가 보안 위협에 보다 빠르고 지능적으로 대응할 수 있도록 지원합니다.

위협 유형 탐지

• 악성 프로그램(범죄, 랜섬웨어 등)

• 파일 없는 공격

• 적법한 애플리케이션 남용

• 의심스러운 사용자 활동 및 행동

기능 유형 및 컬렉션 유형

• EDR은 알고리즘이 위협을 감지하고 대처할 뿐만 아니라 경고 및 공격 데이터 관리를 단순화한다는 점에서 독특합니다. 행동 분석을 사용하여 사용자 활동을 실시간으로 분석하면 엔드포인트를 방해하지 않고 잠재적인 위협을 즉시 감지할 수 있습니다. 공격 데이터를 분석 가능한 이벤트에 병합하고 바이러스 백신 및 기타 도구와 함께 작동하여 안전한 네트워크를 제공함으로써 법의학 분석 기능을 향상시킵니다.

• 엔드포인트 탐지 및 대응은 재부팅할 필요 없이 엔드포인트에 설치된 센서를 통해 실행됩니다. 이 모든 데이터는 함께 연결되어 장치의 위치에 관계없이 엔드포인트 활동에 대한 완전한 그림을 형성합니다.

주요 기술

지능형 샌드박스 기술

다양한 가상 자원을 시뮬레이션하여 엄격하게 통제되고 고도로 격리된 프로그램 운영 환경을 구축하고, 실행 및 추출을 통해 의심 코드의 동적 행위 분석을 위한 핵심 기술 의심스러운 코드 실행 중 행동 정보를 분석하여 알려지지 않은 악성 코드를 빠르게 식별합니다.

머신러닝 기술

은 다학문적 학제간 지식이자 인공지능 분야의 핵심으로, 컴퓨터가 어떻게 인간의 학습 행동을 시뮬레이션하고 새로운 기술을 습득하여 기존 지식 시스템을 재구성하는지 연구하는 데 특화되어 있습니다. , 그리고 지속적으로 자체 성능을 향상시킵니다. 대규모 데이터 마이닝 처리에서는 자동 분석을 통해 패턴을 획득하고, 이러한 패턴을 활용하여 알려지지 않은 데이터를 예측할 수 있습니다.

디지털 포렌식 기술

디지털 포렌식이란 컴퓨터, 네트워크, 전자 장치 프로세스 등 디지털 장치에 존재하는 충분히 신뢰할 수 있고 설득력 있는 디지털 증거를 확인, 보호, 추출 및 보관하는 것을 말합니다. EDR에서 디지털 포렌식은 클라우드 컴퓨팅 환경 포렌식, 스마트 터미널 포렌식, 빅데이터 포렌식 등 핵심 기술을 극복하고 엔드포인트 침입 전자 증거를 자동으로 찾아 수집하며 포렌식 분석의 기술적 임계값을 낮추고 포렌식 효율성과 분석의 정확성을 향상시켜야 합니다. 결과 엔드포인트 보안 사고 조사 및 사이버 범죄 퇴치를 위한 기술 지원을 제공합니다.

EDR 장점 및 단점

장점

• EDR은 공격을 정확하게 식별할 수 있는 고유한 장점을 가지고 있습니다. 엔드포인트는 공격 및 방어 대결의 주요 전장입니다. EDR을 통해 엔드포인트에 방어를 구현하면 보안 데이터를 보다 종합적으로 수집하고, 보안 위협을 정확하게 식별하며, 보안 공격의 성공 여부를 정확하게 판단하고, 보안 사고 발생 프로세스를 정확하게 복원할 수 있습니다.

• EDR은 엔드포인트 보안 방어의 전체 라이프사이클을 완벽하게 포괄합니다. 다양한 보안 위협 이벤트에 대해 EDR은 발생 전, 도중, 발생 후에 해당 보안 탐지 및 대응 조치를 수행할 수 있습니다. 보안 사고 발생 전 실시간으로 클라이언트 보안 데이터를 선제적으로 수집하고, 보안 사고 발생 시에는 이상 행위 탐지, 지능형 샌드박스 분석 등 다양한 보안 엔진을 통해 사전에 보안 위협을 탐지하고 예방합니다. 보안 사고가 발생하면 엔드포인트 데이터를 통해 출처를 추적하세요.

• EDR은 다양한 네트워크 아키텍처와 호환됩니다. EDR은 기존 컴퓨터 네트워크, 클라우드 컴퓨팅, 엣지 컴퓨팅 등 다양한 네트워크 아키텍처에 폭넓게 적용할 수 있으며 다양한 유형의 엔드포인트에 적용할 수 있으며 네트워크 및 데이터 암호화의 영향을 받지 않습니다.

• EDR은 관리자가 보안 위협에 지능적으로 대응할 수 있도록 지원합니다. EDR은 보안 위협의 검색, 격리, 복구, 해결, 조사, 분석 및 포렌식과 같은 일련의 작업을 자동으로 완료할 수 있으므로 보안 위협 발견 및 처리의 복잡성이 크게 줄어들고 사용자가 보안 위협에 더 많이 대응할 수 있도록 지원할 수 있습니다. 빠르고 지능적으로.

단점

• EDR의 한계는 기존 엔드포인트 보안 방어 기술을 완전히 대체할 수 없다는 점입니다. EDR은 안티바이러스, 호스트 방화벽, 호스트 침입 탐지, 패치 강화, 주변 장치 제어, 소프트웨어 화이트리스트 등 기존 엔드포인트 보안 방어 기술과 보완적인 관계를 갖고 있으며 대체 기술이 아닙니다.

기술적 전제 조건

EDR을 사용하거나 더 잘 이해하려면 몇 가지 지식을 알아야 EDR의 원리와 방법을 더 잘 사용하고 이해할 수 있습니다.

• Linux 환경, Python 또는 Shell, Java에 익숙함

• hadoop, Spark 등과 같은 빅 데이터 구성 요소에 익숙함

• 데이터 마이닝 및 분석(예: 위험 수준 분류)에 익숙함 , 데이터 통계 기술(일부 신뢰도 계산 등), 머신러닝 기술(분류 검출 등), 딥러닝 기술, 빅데이터 분석 기술(주로 상관관계 분석), 퍼널 분석 방법 등

• mysql 또는 nosql 데이터베이스, 중앙 집중식 스토리지 데이터베이스, 분산 스토리지 데이터베이스에 익숙합니다.

더 많은 관련 지식은 FAQ 칼럼을 방문해주세요!

위 내용은 네트워크 보안에서 edr은 무엇을 의미합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!