跳至主内容

事件传感器

终端检测与响应 ( EDR )是一种事件关联组件,能够识别高级威胁或进行中的攻击。

扩展检测与响应 ( XDR )是一种跨企业事件关联组件,可检测混合基础设施(运行各类操作系统的工作站、服务器或容器)中跨多终端的高级攻击。

作为我们全面集成的终端防护平台组成部分,这些解决方案汇聚了企业网络中的设备情报,协助事件响应团队调查和应对高级威胁。

对于 XDR 为了关联事件并生成组织级别的事故,您需要启用 事故传感器 .

incidents-sensor-policy_cp_341738_en.png

事故传感器持续监控终端活动,如运行进程、网络连接、注册表变更和用户行为。这些元数据通过机器学习算法和预防技术进行收集、上报和处理,以检测系统中的可疑活动并生成事故。

警告

必须启用事故传感器才能使 PHASR 正常运行。禁用事故传感器将导致 PHASR 无法访问风险分析所需的 EDR 历史数据。

EDR 响应操作

您可以通过在 EDR 中启用 EDR 响应操作 选项来配置 事故传感器 策略设置,使其自动响应检测到的恶意进程。

启用此选项后, EDR 可根据配置的设置和检测逻辑,在进程执行前或执行期间自动拦截恶意进程。

根据需要选择以下一个或两个选项:

  • 阻止进程执行 :在进程启动前拦截。

  • 终止运行中的进程 :在进程运行时终止。

重要提示

  • 默认情况下, EDR 响应操作处于禁用状态。

  • 此功能目前仅适用于Windows操作系统。

  • 此功能需要BEST版本7.9.26.567或更高版本。

  • EDR 响应操作不支持 GravityZone EDR云许可证及EDR(仅报告)部署方案。

  • EDR XDR 的可用性及功能因许可证类型而异。更多信息请参阅 功能分布 . 功能分布

    关于 端点检测与响应 / 扩展检测与响应 的完整文档,请参考 EDR / XDR .

本节内容 :