跳至主内容

事件传感器

终端检测与响应 ( EDR )是一种事件关联组件,能够识别高级威胁或进行中的攻击。

扩展检测与响应 ( XDR ) 是一款跨企业事件关联组件,能够检测混合基础设施(运行各类操作系统的工作站、服务器或容器)中跨多个终端的高级攻击。

作为我们全面集成的终端防护平台的一部分,这些解决方案汇聚了企业网络中的设备情报。它们协助事件响应团队调查和应对高级威胁。

要使 XDR 能够关联事件并生成组织级安全事件,您需要启用 事件传感器 .

incidents-sensor-policy_cp_341738_en.png

事件传感器持续监控终端活动,如运行进程、网络连接、注册表变更和用户行为。这些元数据由机器学习算法和预防技术收集、上报并处理,以检测系统中的可疑活动并生成安全事件。

警告

必须为 PHASR 启用事件传感器才能正常运行。禁用事件传感器将导致 PHASR 无法访问风险分析所需的 EDR 历史数据。

EDR 响应操作

您可以通过在 EDR 事件传感器 策略设置中启用 响应操作 选项,配置 EDR 自动响应检测到的恶意进程。

启用此选项后, EDR 可根据配置的设置和检测逻辑,在恶意进程执行前或执行期间自动拦截。

根据需要选择以下一个或两个选项:

  • 阻止进程执行 :在进程启动前进行拦截。

  • 终止正在运行的进程 :在进程运行时强制终止。

重要提示

  • 默认情况下, EDR 响应操作处于禁用状态。

  • 此功能目前仅支持Windows操作系统。

  • 该功能需要BEST版本7.9.26.567或更高版本。

  • EDR 响应操作不支持 GravityZone EDR云许可证及EDR(仅报告)部署模式。

  • EDR XDR 的可用性及功能因许可类型而异。更多信息请参阅 功能分布 . 功能分布

    关于 端点检测与响应 / 扩展检测与响应 的完整文档,请参考 EDR / XDR .

本节内容 :