如果您在信息安全领域工作，那么您无疑会听说过EDR，EDR（Endpoint Detection and Response端点检测和响应）有望彻底改变安全分析师消除攻击的方式。不幸的是，与信息安全领域中的许多其他解决方案一样，EDR未能实现承诺的宣传。

EDR的典型销售思路是这样的：“我们都知道您可以在SIEM (安全信息和事件管理)中检查警报，在您的工作效率软件套件中打开升级通知，并警告系统管理员采取措施。但是，在这时间内，攻击者很可能已经进行了入侵和破坏，窃取了您的数据。问题不在于您没有足够的检测能力，而是到处都是问题。如此情况下，您将如何响应？时间就是金钱，时间有利于攻击者。这就是为什么您需要EDR，它将检测功能和响应功能整合到一个平台中。”

但是，正如您可能已经猜到的那样，EDR并没有达到很高的期望。

EDR部署最大的失败之一就是EDR大多数无法与安全分析人员使用的其他工具（SIEM，IDS，DLP等）整合在一起，只有极少的厂商产品可以做到。EDR部署的另一个常见问题是IT业务与网络安全之间典型的职责分离。EDR平台跨越了两条业务线；传统的网络安全主要是检测功能，而传统的IT服务主要是响应功能。每当执行响应功能时，都会存在系统中断的风险。由于IT业务部门应为任何系统停机负责，因此，只有在传统上IT业务部门已经管理了所有响应功能，才有意义。而且由于EDR涵盖了传统的检测和响应功能，因此它打破了这种范式，为流程和工作流问题铺平了道路。

即使组织中要处理流程问题，许多EDR平台本身也无法充当供应商承诺的真正的一站式解决方案。许多EDR平台缺乏与SIEM的集成。另一些则完全集中在端点上，完全忽略了网络流量在消除误报和为真正的误报提供有价值的内容方面所起的作用。

如何克服这些挑战，有效实施EDR呢，听我们一一道来。

安全工程师常常只关注EDR系统的检测功能和工作流程。但是EDR不仅仅是检测。显然，响应能力也很重要，但是，在评估EDR系统时，用户通常会发现补救和响应功能是对检测功能的事后考虑。当我们检查产品生命周期时，我们通常还会观察到检测功能比响应产品具有更多的功能增强。我们已经强调了这样做的一个原因：EDR提供的功能传统上是网络安全团队以及IT业务团队工作角色的一部分。但是，尽管两个不同团队使用了跨部门的功能，但EDR系统的资金需求通常仅由网络安全部门承担。看来EDR厂商在很大程度上响应了市场力量。供应商认为，网络安全团队中的决策者更可能重视检测功能。

但是，这种假设是错误的，EDR可以执行的许多查询功能也可以由传统的IT资产管理软件（例如SCCM）执行。仅在考虑了EDR的响应功能后，部署EDR的主要好处才变得显而易见。

EDR系统的理想响应功能：

l 终止正在运行的进程

l 根据名称、路径、参数、父进程、发布者或哈希阻止进程

l 阻止特定进程在网络上进行通信•阻止进程与特定主机名或IP地址通信

l 卸载服务

l 编辑注册表项和值

l 关闭或重新启动端点

l 从端点注销用户

l 即使正在使用文件和目录，也能够从操作系统中删除它们（可能需要重新启动）

大多数EDR系统都提供了这些功能的一部分。机器重启是最常被忽视的问题之一。恶意软件作者通常会安装采用用户模式rootkit钩子的恶意软件。操作系统中安装了防止删除注册表项和用于在两次重启之间持久保存恶意软件的值的钩子。运行恶意软件时，进程看不到恶意软件使用的文件和目录。恶意软件通常通过由服务管理器管理的服务来持久保存。如果没有在系统上执行远程重新启动的功能，则采用EDR可能无法修复采用上述技术的恶意软件。分析师需要能够对事件做出快速反应并加以遏制的能力。老式的方法是每次出现防病毒警报时仅重新映像覆盖系统，根本无法适应当今的威胁。

如今，大多数EDR系统都允许分析师终止单个进程。但是，这些系统中的许多都缺乏阻止同一进程立即重新启动的能力。他们真的让分析员打了一场徒劳无功的游戏，进攻方总是占优势，防守方总是想追上来。在评估一个EDR系统时，仔细检查EDR系统如何允许分析人员主动预防已知的攻击者技术，而不是简单地对其作出响应。EDR系统的另一个常见问题是使用脚本解释器，例如PowerShell或cscript。这两个脚本解释器通常用于正常的系统操作，但是它们也经常被恶意软件使用。EDR系统必须为分析人员提供一定的能力，以区分脚本解释器的合法使用和非法使用。

EDR系统的明显用例是检测入侵并自动响应。我们将通过一些用例来说明如何在现场实施EDR。

情景一：EDR检测到一个以常规用户身份运行的名为lsass.exe的进程

名为lsass.exe的进程只能在系统环境中执行，而不能在普通用户环境中执行。由于新手分析师可能不知道Windows主机上应仅运行lsass.exe进程的单个实例，因此EDR突出显示该事实并触发警报，从而开始调查。在处理警报时，分析人员向EDR查询端点上正在运行的进程，并发现恶意lsass.exe进程作为cmd.exe的子级正在运行。cmd.exe进程作为winword.exe的子级运行。分析人员现在怀疑恶意程序可能是恶意Word文档的网络钓鱼攻击的结果。流程的开始时间使分析人员得出结论，即网络钓鱼电子邮件刚刚打开，这为EDR提供了一个理想的机会，使EDR在短短几分钟内将事件从入侵到检测再到响应。

情景一中EDR的角色：

分析人员认识到流氓lsass.exe进程肯定是恶意的，因此查询涉及任何流氓进程的网络连接，并发现lsass.exe进程正在与东欧的IP地址通信。分析人员使用EDR终止恶意进程（lsass.exe，cmd.exe，和winword.exe）。分析人员还使用EDR系统查询与可疑IP地址进行通信的所有端点。分析人员发现了另外两个端点，并从这些系统中请求系统信息（例如，正在运行的进程和服务配置信息）。这些系统未像原始系统那样使用流氓lsass.exe进程，但是EDR可以轻松识别，无论如何都是恶意进程。

传统的网络监视系统（例如NetFlow和完整的数据包捕获）缺少EDR提供的粒度。尽管传统的网络监视系统可以将调查者指向与可疑IP地址进行通信的端点，但它们仍无法确定所涉及的实际过程。不幸的是，EDR的这一方面意味着调查人员必须在调查中涉及另一个系统。另一方面，EDR允许研究人员识别通信中涉及的特定进程（并终止它们）。尽管第一个系统刚刚遭到破坏并且可以轻松处理，但新识别的机器何时遭到破坏尚不知道。分析人员深入研究了从EDR返回的信息，并发现持久性机制是用户启动目录中的LNK文件，该文件已使用EDR删除。

场景二：用EDR进行可疑行为分析

该组织收到新的威胁情报，即以它们为目标的APT威胁正在使用目录％USERPROFILE％\ AppData \ Roaming \SharePoints暂存数据以进行渗透。该组织最近未在其网络中观察到APT小组的活动，并担心可能会在其网络中观察到新发布的威胁指标（IOC）。如果发现了新的威胁指标，则组织希望能够迅速做出反应并将攻击者从网络中删除。

情景二中EDR的角色：

EDR的任务是在网络上的每台计算机上查询目录％USERPROFILE％\ AppData \ Roaming \SharePoints的存在，该目录已通过威胁情报识别为威胁指标。该目录是在四台计算机上发现的，其中两台位于总部，两台位于不同的远程办公室，而该组织没有现场IT或信息安全人员。检测到入侵总是不太容易的，但如果检测到入侵，没有现场支持，可能会导致额外的复杂问题。

分析人员立即查询进程信息，包括通过EDR从四台受影响的计算机中加载的DLL和网络连接数据。分析人员不会立即看到任何看起来是恶意的进程，但是会看到不熟悉的DLL（kernel64.dll）已加载到explorer.exe（用户的桌面）地址空间中。查找加载到explorer.exe中的DLL与共享的IOC一致，共享的IOC也绑定到用户（而不是计算机）。

在检查网络连接数据时，分析人员指出，在三台受感染的计算机上，explorer.exe进程具有与TCP端口33389上的外部IP地址的连接。分析员考虑使用EDR立即阻止与IP地址的通信，但EDR仍需进行其他查询，因此在执行其他查询调查前，决定EDR暂不阻止外部IP地址的连接。

分析人员使用从先前查询中获得的信息，使用EDR查询与TCP端口33389或可疑IP地址通信的所有计算机。分析人员还查询所有加载DLL名称kernel64.dll的进程。发现有五台新机器正在加载kernel64.dll。由于这些计算机没有暂存目录，因此无法使用提供的原始威胁情报来定位它们。分析人员还发现另一个可疑IP地址。

分析人员使用EDR向已识别的计算机查询所有登录用户的注册表设置，以发现恶意软件使用的持久性机制。所有受感染的计算机都有一个自动运行条目，可以启动合法的第三方系统分析程序。由于该应用程序是经过数字签名的，因此可以通过应用程序白名单将其允许使用，但该应用程序却被用于从磁盘旁路加载DLL，注入explorer.exe并退出。执行其他EDR查询以查找安装了第三方系统分析程序的其他计算机，但未发现。

完成检测后，分析人员现在可以转为响应。他们使用EDR远程删除用于持久性的自动运行注册表项和第三方系统分析程序（以及旁路加载的恶意DLL）。他们还使用EDR阻止与已标识IP地址的所有通信。尽管也应在防火墙处阻止通信，但此任务通常由另一个团队管理。在响应期间跨多个团队进行协调会导致延迟。尽管在识别和范围界定阶段可能不适合阻止与IP地址的通信，但当事件响应者触发时，阻止应该是立即和无缝的。根据我们的经验，与网络团队的协调既不是直接的，也不是无缝的，这进一步突出了EDR的价值主张。

EDR市场曾经是一个小众市场，近年来却出现了爆炸式增长。不过，仅仅因为该产品带有EDR描述，并不意味着这些产品彼此之间具有接近功能同等的地位或已被证明特别有效。

我们已经讨论了在考虑EDR时需要的功能，部署EDR的用例。考虑使用EDR产品的组织在评估自己的部署时应考虑本文提出的建议，包括：

l 使用EDR功能清单

l 考虑吸取的教训，以避免EDR部署问题

l 确保所选的EDR解决方案实现适当的响应功能

l 预先确定与SIEM和其他工具的集成将如何影响EDR部署

l 确保EDR支持新手分析师可用的工作流程

写在本文最后，部署EDR，我们是专业的！(*^▽^*)