EDR

定义

EDR 是“终端威胁检测与响应”（Endpoint Detection and Response）的缩写。它是一种信息安全技术，用于检测、解释和响应通过端点设备（如计算机、服务器、移动设备等）进入网络的安全威胁。

EDR 技术通过监控端点设备的活动和行为，以及识别异常或恶意行为来保护网络安全。

知名项目

• CrowdStrike Falcon：CrowdStrike Falcon 是一种强大的云端终端安全平台，提供实时威胁检测和响应功能。

• Carbon Black：Carbon Black 是由 VMware 收购的一家知名终端安全公司，其 EDR 产品提供先进的威胁检测和响应能力。

• CylancePROTECT：CylancePROTECT 是 Cylance 公司的 EDR 产品，利用人工智能和机器学习来检测和阻止威胁。

• SentinelOne：SentinelOne 是一家专注于终端安全的公司，其 EDR 平台结合了行为分析和机器学习技术来检测和应对威胁。

• Tanium：Tanium 提供了一种综合性的终端管理和安全平台，其 EDR 功能可以实时检测和响应威胁。

这些项目都是在终端安全领域具有较高知名度和业界认可度的 EDR 解决方案。

ATT&CK

定义

ATT&CK 是一种用于描述和分类攻击技术的框架，全称为“Adversarial Tactics, Techniques, and Common Knowledge（对抗策略、技术和常用知识）”。该框架由美国国家安全局（NSA）的红队部门开发，旨在帮助组织了解并应对现代网络攻击。

ATT&CK 框架通过对恶意行为的分类和描述，旨在提供一种通用的、标准化的语言来描述攻击者的战术、技术和常见的方法。框架的内容包括多个不同的阶段，例如攻击者进入系统的方式、在系统内活动的方式以及取得攻击目的的方式。

ATT&CK 框架包含两个部分：企业（Enterprise）和云（Cloud）。企业部分主要针对传统的企业网络和终端环境，而云部分则关注云环境中的攻击技术。

ATT&CK 框架具有教育意义，帮助安全团队和研究人员了解攻击者的策略和行为模式，从而更好地保护组织的网络安全。也有利于标准化安全日志和威胁情报的交流，进一步提高了整个安全社区对于威胁的感知和应对水平。

总之，ATT&CK 框架是一种有助于组织了解、评估和应对网络攻击威胁的工具，有助于提高安全团队对威胁的认识和应对能力。