EDR评估指南
选择合适的端点检测和响应(EDR)工具对于提升企业安全防御能力至关重要,但面对市场上众多的EDR产品,很多企业感到无从下手。这份EDR评估指南提炼了业界顶尖的安全专家团队10多年来评估和运营各类EDR平台,以及为数千家企业提供采购和运营指导的经验精华,为企业CISO、安全负责人和安全专家详细阐明选择EDR工具时的关键考量因素、主流产品的功能特性以及不同平台的优劣对比。
阅读此指南,您将全面了解EDR市场现状,掌握评估EDR产品的正确方法,学会向厂商提出关键问题,从而在产品选型时少走弯路,选出最契合企业实际需求、性价比最优的EDR工具,为企业量身打造世界一流的端点安全防护体系。
EDR能力的5个关键指标
关键指标 | 考量要点 |
---|---|
可见性 | - 数据源类型- 遥测数据可靠性- 数据访问方式 |
告警 | - 告警数量和保真度- 告警逻辑透明度和条件- 告警上下文信息<br>- 告警调优能力 |
预防 | - 阻断对象和条件- 阻断机制- 预防控制的灵活性 |
响应 | - 可用的响应动作- 响应能力的安全防护 |
报告 | - 汇总告警报告- 资产清点报告 |
EDR 工具出现于十多年前,它解决了长期困扰组织的一个盲点:全面洞察端点工作站的需求,以支持事件调查、告警根因分析和相应的响应行动。当时已有无数基于已知恶意指标(如恶意软件特征、IP地址)等方式的威胁防御工具和控制手段,但它们往往缺乏背景信息和保真度,响应能力也非常有限。
因此,全面调查和修复一个告警或事件通常需要在海量的端点日志和网络遥测数据中探索蛛丝马迹,有时还需要依赖 SIEM 等平台(如果有的话)。而事件响应本身又是另一个难题,从人工检查数百台受感染设备,到使用各种原生或第三方工具远程访问它们进行修复,难度和成本都很高。
调查的"游戏规则改变者"
EDR 的出现开启了一个全新的世界。以前分散在众多日志中(或根本未被收集)的数据源,现在可以通过单一工具进行采集,将相应的遥测数据集中存储,并在同一个搜索界面中进行分析。此外,EDR 中的"R"代表安全团队可以使用同一工具主动响应事件,根据需要实时隔离机器、封禁哈希或IP地址。
EDR 的默认告警与一般告警(高误报率、缺乏背景、数量过多等)存在许多相同的问题,但其提供的深度可见性对追溯性调查而言立竿见影。早期的 EDR 用户几乎只将这些工具用于事后调查,但实际上 EDR 还有更多潜力有待发掘。
资源充足的组织还可以执行特别的威胁狩猎,将 EDR 遥测数据与其他安全数据一起接入 SIEM,或开发满足独特业务需求、符合特定风险承受能力的自定义检测器。威胁狩猎和自定义检测尤其能发挥 EDR 的优势,但在 EDR 早期,专职的威胁猎手和检测工程师还是一种新鲜事物,大多数组织在运营这些功能、真正优化 EDR 投资回报方面能力有限。
一个蓬勃发展但令人困惑的市场
多年来,EDR 已成为除极小型组织外几乎所有企业的必备工具。在 2023 年的一项调查中,Gartner 发现约 57% 的组织已部署 EDR 功能,比 2022 年增加了 15 个百分点。
整合和演进扩大了 EDR 工具的覆盖范围,将杀毒(AV)、下一代杀毒(NGAV)、端点保护平台(EPP)等原本独立的工具逐步融入我们现在熟悉的 EDR 平台中。此外,许多现代 EDR 平台已重新定位为 XDR(扩展检测和响应),整合了网络、身份等各种安全工具,XDR 与传统 EDR 的界限日益模糊。
当前市场上的大多数 EDR 平台都具有一组核心特性,与前辈相比既有传承也有创新——它们收集遥测数据、生成告警、阻止恶意活动、支持响应操作,并通过用户界面(UI)向安全团队展示信息。然而,在具体采集内容、阻断条件、告警生成逻辑、响应能力的质量和易用性,以及提供的附加功能等方面,不同产品可能存在显著差异。
这些差异至关重要。
世上没有"最佳 EDR 平台",但对您的组织而言,一定存在最佳选择。本指南将借鉴我们过去十年评估和运营 EDR 平台的经验,并引导成千上万的组织完成 EDR 的采购和运营,阐明在 EDR 平台中应该关注哪些特性,可以期望(或不期望)找到哪些功能,以及不同 EDR 产品的实现方式可能有何不同。
通过阅读本指南,您将对市场现状有一个更清晰的认识,利用这些信息向 EDR 厂商提出正确的问题,并最终做出最适合贵组织独特需求的决策。
关于本指南
本指南是对我们分析过和/或集成到自己产品中的所有 EDR 平台的整体特性的客观评估。由于 EDR 产品的总体质量几乎总是取决于个别组织的需求和偏好,我们不会在本指南中推荐或提及具体的 EDR 提供商或产品。相反,我们将讨论我们认为对 EDR 各个组成部分而言重要的功能,以及在这些功能的实现中可能遇到的细微差别。
由于 EDR 和 XDR 的界限已经模糊,我们还会涉及一些类似 XDR 的功能,因为我们认为企业应该考虑从将端点活动与非端点活动关联的工具中获得的好处。除了重点介绍 EDR 的功能并讨论它们可能的实现方式,我们还列举了一些示例问题,您可以询问 EDR 厂商以进一步了解其功能及实现。
1.可见性
可见性是 EDR 平台的基础,代表该工具可以从操作系统的哪些部分进行采集。没有可见性,就没有任何内容可供告警、预防、报告或响应。我们通常将可见性划分为数据源,MITRE ATT&CK® 是事实上的标准。ATT&CK 进一步将数据源分类为组件。EDR 代理从这些数据源和组件中收集实际遥测数据,用于监控恶意和可疑事件,并支撑 EDR 平台的告警和预防功能。
数据源
您可能希望 EDR 检查的一些数据源、组件和遥测数据示例如下:
遗憾的是,一些 EDR 厂商对其采集的数据类型使用不同的命名约定,但大多数在概念上相似,并且松散地映射到 ATT&CK 列出的数据源。开放式网络安全架构框架(OCSF)正迅速成为数据标准化和互操作性的规范,熟悉该框架可能会在厂商持续采用它时带来回报。如果 EDR 提供商的数据标准化方式特别不寻常,您可能会在发挥其全部潜力方面遇到严重问题。
数据源 组件 遥测数据
进程 进程启动 powershell.exe
命令 命令执行 delete shadows /all
文件 文件访问 Q1salesreport.xlsx
网络流量 网络连接创建 redcanary[.]com
登录会话 登录会话创建 用户:Brian
以下是我们认为对 EDR 平台收集而言属于半标准且重要的遥测数据类型列表,尽可能按照 ATT&CK 数据源组件进行组织。
一般元数据
事件类型、端点平台、传感器产品、传感器 ID 和活动时间戳
用户信息
用户名和用户 UID
登录会话创建和元数据
账户名、域、登录类型、身份验证类型、登录时间、访问令牌和成功/失败
进程启动
进程 ID、进程名称、进程路径、进程哈希、进程启动时间戳、进程命令行和脚本加载
文件创建、修改和删除
文件名、文件路径和文件哈希
网络流量连接
方向(入站或出站)、域、IP 地址(远程或本地)、端口和成功/失败
创建、修改、删除注册表
路径和值(修改前后)
模块加载
模块路径和名称
进程句柄打开、进程线程打开和远程线程创建
名称、路径、目标和请求的访问权限
除此之外,组织还应考虑 EDR 平台是否通过与微软反恶意软件扫描接口(AMSI)等的集成来检查脚本内容。能够将可疑活动与相应的身份遥测数据关联起来可能是有益的,以及与二进制文件相关的签名证书信息。尽管未签名的二进制文件不一定是恶意的,正如签名的二进制文件不一定是良性的,但在检测、调查和响应威胁时,证书是拼图的重要组成部分。最后,考虑一下 EDR 系统本身的日志质量也很重要,因为 EDR 平台可能在无意中使攻击者能够通过响应功能操纵防御控制或远程控制主机。
可靠性
在某些情况下,EDR 代理在纸面上收集的遥测数据与该遥测数据的实际可用性可能有所不同。例如,EDR 平台可能只显示与告警相关的遥测数据,严重限制了威胁狩猎、自定义检测和响应用例。此外,一些 EDR 工具实施的过滤机制会以不可预测的方式影响遥测数据收集。EDR 平台可能会在某些条件下或者某种遥测数据特别嘈杂或大量的情况下限制遥测数据流,例如注册表修改。一些 EDR 平台还存在进程层次结构问题,可能通过掩盖生成进程或从其生成的内容而使组织检测或完全调查告警的能力复杂化。最后,值得研究一下当端点未连接到互联网时,端点以及从中收集的遥测数据会发生什么。
数据访问
可见性的另一个重要组成部分是 EDR 工具如何允许用户访问它收集的数据。虽然本节涵盖图形界面和导出功能,但考虑用户如何从字面上访问该工具也很重要。该工具应支持多因素身份验证(MFA)、基于角色的访问控制和其他身份最佳实践。
用户界面
您需要采用一种易于导航且直观的用户界面的 EDR 工具。一些 EDR 可能以进程树、时间轴或两者兼有的形式向您显示信息。理想的 EDR 工具将提供多种分析视图,包括进程树、时间轴、用户活动日志和表格,以及在这些视图之间无缝切换的能力,并能够对各种日志类型进行排序、筛选和查询。我们将在"告警"部分进一步讨论这一点。
搜索功能和查询语言
此外,每个 EDR 平台都有其独特的搜索功能,并且很可能有专有的查询语言。随着时间的推移,通用人工智能工具可能会取代特定产品的查询语言,使用户能够放弃学习专有查询语言,而直接使用通用语言搜索日志。一些组织可能更愿意完全避开其 EDR 平台的界面,而完全依赖应用程序编程接口(API)。并非所有 EDR 平台都提供相同级别的 API 支持,有些还限制 API 使用,因此评估这一点很重要。
存储和导出能力
您可能还需要能够将数据导出 EDR 工具的功能,因此值得研究 EDR 工具的导出能力及相关成本。此外,每个厂商都有自己独特的数据保留策略,规定了他们存储端点数据的时间,您肯定需要知道保留期有多长。还要考虑他们从操作和数据管辖的角度存储(或可以存储)收集的数据的位置(例如,在设备上、本地内部服务器上、云中、美国、欧盟等)。
问题
您的 EDR 工具收集哪些数据源或遥测数据类型?
您的 EDR 工具对数据源和遥测类型的命名约定或数据标准化模型是什么?
您的 EDR 是否与 AMSI 集成?
您的 EDR 工具提供哪些 XDR 集成?
您的 EDR 工具本身提供什么样的日志记录?
您的 EDR 工具以何种方式过滤或限制其监控的遥测数据的可用性?
您的 EDR 使用什么安全防护措施来防止未经授权的访问?
您的 EDR 使用什么查询语言进行搜索?
哪些数据可以通过 API 访问?是否对 API 使用有限制?
您是否可以从 EDR 中导出数据?导出是否需要付费?
您的数据保留策略是什么?
您的 EDR 在哪里以及如何存储数据?
2.告警
几乎每个 EDR 产品都包含一定程度的内置 AV 或 NGAV 功能,开箱即用就能针对潜在可疑和恶意行为生成不同数量的告警。一些组织将严重依赖 EDR 工具的默认告警,而另一些组织可能会完全忽略它们,转而依赖自定义检测规则。无论您的组织打算如何做,在 EDR 工具生成的告警数量和质量方面,您都有很多需要考虑的因素。
数量和保真度
任何生成告警的安全工具的两个主要且相关的关注点是它倾向于创建的告警数量和这些告警的误报率。对告警数量和保真度的偏好因组织而异,从偏好较少数量和较高保真度(错过某些活动的风险可能更高)的组织,到希望看到所有哪怕是略微可疑的活动并愿意为确保不错过任何内容而付出过多人工调查误报警告的代价的组织。大多数组织的风险承受能力介于这两个极端之间。尝试确定工具生成的告警的误报率应该是每个组织的优先事项,该工具应该提供一种明确的方法来计算这一点。
告警数量
风险承受能力较高;
宁可花较少时间调查告警,即使有可能错过一些活动
调查小时数
风险承受能力较低;愿意花大量时间调查误报,以避免漏报
告警生成的原因以及生成原因可以告诉您很多关于告警质量的信息,并指导您如何响应告警。没有上下文的不透明告警极难采取行动。相反,解释其背后逻辑并包含触发告警的特定遥测数据的告警可以极大地改进和缩短调查过程,并开启可能在其他情况下无法实现的调整选项。
对告警而言,上下文始终至关重要,而不同 EDR 工具提供的告警上下文在细微但重要的方面可能有所不同。对于由网络活动生成的告警,知道网络连接是否成功很重要。防御者似乎显然不太关注失败的连接或登录尝试而更关注成功的尝试,但并非所有 EDR 工具都能轻松确定这一信息。类似地,当告警与潜在的恶意二进制文件相关时,知道该二进制文件是否经过签名并获得有关签名证书的信息是重要的背景信息。
告警上下文
不同 EDR 平台提供的告警信息各不相同,而随告警获得的上下文的全面性是 EDR 平台整体质量的一个主要决定因素——如果您关心原生告警的话。最佳告警会告诉分析师他们需要了解的所有内容,以便对威胁进行分类、调查和响应:发生了什么、谁或什么受到影响、活动发生的时间、触发告警的原因,以及他们如何响应或减轻导致告警的问题。