端點檢測和響應(EDR)產品為IT人員提供端點可視性，以檢測惡意行為，分析數據以及提供適當的應急響應。EDR是新型安全市場的一部分，Carbon Black、Cisco、CrowdStrike 以及FireEye等全球知名廠商都在加快對該領域的部署，以搶占市場份額。

如今，提到EDR就不免會接觸到“威脅捕獲(threat hunting)”這一術語，它是指通過搜索大量數據這一過程，以發現威脅行為者或新型攻擊的跡象，而不是依賴已知的威脅簽名。它是威脅情報和大數據分析相結合的產物。威脅捕獲是綜合EDR解決方案的關鍵組成部分，同時也是EDR和端點保護平臺(EPP)這兩種易混淆概念的關鍵區別。

[[229975]]

然而，EDR解決方案也正在經歷一個變化周期。2016年，Gartner指出，

但是Gartner 2017年端點保護平臺魔力象限又指出：

以下是安全專家就購買EDR解決方案前應該問自己的10個問題作出的解答：

1. 你想解決什么業務問題?

評估EDR解決方案的第一步就是“確定你想解決的問題”。對于大型組織的首席信息官(CIO)來說，其主要任務就是為安全運營中心(SOC)配置適當的工具以解決問題。但是要牢記：安全不僅僅是工具的問題，同時還是人的問題。遲早會有人因為錯誤配置系統的問題，使得企業遭受新型或高級持續性威脅(APT)危害。因為，即使是最好的網絡可視化工具，也不能完全阻止一個動機明確且訓練有素的對手。

FireMon公司的首席技術官Paul Calatayud對此也表示贊同，但其進一步補充道，這一觀點同樣適用于較小的組織。他表示，

2. 什么是EDR解決方案的數據回溯期?

一個EDR解決方案必須提供超過實時(point-in-time)的數據才能生效。他建議尋找一個可以提供至少30天的實時數據進行分析的解決方案。有些供應商甚至可以從檔案庫中提供90天到一年的歷史數據用于調查目的。

3. EDR解決方案是否集成威脅情報平臺和其他現有工具?

因為EDR工具旨在協助進行威脅捕獲，所以對于這些工具而言，與威脅情報源或平臺相集成，以快速分析威脅指標(indicators of compromise，IOC)是非常重要的。

安全平臺通常有很多工具，那么你如何從管理門戶中獲取數據呢?EDR工具需要與現有工具(包括防病毒工具)集成。此外，在你購買EDR解決方案前，了解該EDR方案集成了哪些工具也是非常重要的。

4. EDR解決方案需要多少資源來支持該技術?

實施和運行EDR解決方案可能會非常麻煩。您可能需要參加培訓，并與供應商的工程師合作才能將其啟動并運行。如此一來，它可能需要花費許多時間和大量的資源，以實現可視化運行、學習破譯結果以及確定如何在必要時進行故障排除。

在評估任何安全解決方案時，重要的是要了解該解決方案是否會通過要求大量的支持來減損您的資源，而不是允許您的團隊像一個消費者一樣，專注于解決方案中的數據。

建議潛在買家要仔細考慮如下問題：為了使這個工具產生價值，我需要做什么?分析師需要做什么?誰將對警報做出響應?EDR需要人員、流程和工具，但工具只是其中的一部分。

5. 該解決方案是否會破壞端點?

要提防那些在代理部署或威脅調查期間會破壞端點的解決方案。為了解決這個問題，Clayton建議使用內核級代理的解決方案。

6. 該解決方案支持哪些操作系統?

在企業環境中混合使用Microsoft和Macintosh計算機是很常見的問題，必須確保所有端點的覆蓋范圍包含服務器操作系統類型。他補充道，EDR需要能夠對環境可見化，例如，一個解決方案可能支持Windows，但不支持Linux，所以，必須確保你所需的解決方案支持您的系統和補丁計劃。

7. 我應該注意哪些可擴展性問題?

EDR買家在擴展的環境中查詢管理問題。例如，與30,000個端點相比，3000個端點的管理入口有什么不同?要求潛在供應商描述他們最大的部署和涉及的端點/代理的數量。

8. 解決方案是否提供工作流報告或與其他票務系統交互?

可用性是任何安全解決方案的重要組成因素。IT資源一直都是很少的，一個包含報告儀表板或集成到其他票務系統的解決方案會使生活變得更加便捷，但是一個不易操作的解決方案也是一種風險，因為用戶可能會感到困惑，繼而選擇放棄該解決方案。

9. 該解決方案是否提供“多租戶(multitenancy)”技術?

基于云的解決方案經常使用“多租戶技術”來保持客戶的獨立性。Raim表示，EDR客戶經常說他們不想要多租戶技術，但當他們意識到該技術能為他們做什么時，他們會愿意使用該技術。借助“多租戶技術”，客戶可以分離自己的基礎設施(如城市或業務單元)，以實現更好的組織、控制和靈活性。但是這一決定必須要提前確定，因為改裝多租戶技術是非常困難的。

10. 我的組織是否能夠負擔起一個EDR解決方案?

考慮到企業SOC的成本很容易達到300萬到500萬美元，Raim指出，一些客戶主要專注于”find and forget(發現并忘記)“解決方案，因為它們的價格實惠得多。一個管理服務可以為客戶提供EDR功能，包括分析師輸入(analyst input)，減少客戶對內部專業知識的需求。這些類型的服務可能會在可預測的12、24或36個月的合同中推出，或者成本可能會根據組織的架構和基礎設施需求而波動。