EDR(Endpoint Detection and Response,端点检测响应)
定义
EDR 由 Gartner 分析师 Anton Chuvakin 在 2013 年命名,是传统反病毒(AV)的演化版本 — 不是只签名匹配病毒,而是持续记录端点行为(进程、注册表、网络连接、文件操作),用行为分析检测高级威胁,并提供响应(隔离、终止进程、回滚文件)。
EDR vs 传统 AV
| 维度 | AV(杀毒) | EDR |
|---|---|---|
| 检测方式 | 病毒库签名匹配 | 行为分析 + AI |
| 覆盖威胁 | 已知病毒 | 已知 + 未知(0-day、APT) |
| 响应能力 | 隔离/删除文件 | 隔离主机、终止进程、回滚 |
| 数据留存 | 几乎无 | 30-90 天遥测 |
关键玩家
- CrowdStrike(CRWD,市值 $1,067 亿)★★★★★ — Falcon 平台 EDR 全球第一,FY2025 营收 $39.5 亿(+29%),2024-07 曾因更新错误导致全球性 IT 故障(据投行内部研究)
- Microsoft — Defender for Endpoint,Windows 内置优势
- SentinelOne(S)— Singularity Platform,AI 驱动
- Palo Alto Networks — Cortex XDR 含 EDR
- 中国:奇安信(国内终端安全 8 连冠,市占第一)/ 深信服 / 360
演化
EDR → XDR → XSIAM 路径:
关联
↓ down::XDR ∈ belongs_to::3-08-AI基础设施安全