網路安全監測方案

A. 公安機關互聯網安全監督檢查規定

第一章總則第一條為規范公安機關互聯網安全監督檢查工作，預防網路違法犯罪，維護網路安全，保護公民、法人和其他組織合法權益，根據《中華人民共和國人民警察法》、《中華人民共和國網路安全法》等有關法律、行政法規，制定本規定。第二條本規定適用於公安機關依法對互聯網服務提供者和聯網使用單位履行法律、行政法規規定的網路安全義務情況進行的安全監督檢查。第三條互聯網安全監督檢查工作由縣級以上地方人民政府公安機關網路安全保衛部門組織實施。

上級公安機關應當對下級公安機關開展互聯網安全監督檢查工作情況進行指導和監督。第四條公安機關開展互聯網安全監督檢查，應當遵循依法科學管理、保障和促進發展的方針，嚴格遵守法定許可權和程序，不斷改進執法方式，全面落實執法責任。第五條公安機關及其工作人員對履行互聯網安全監督檢查職責中知悉的個人信息、隱私、商業秘密和國家秘密，應當嚴格保密，不得泄露、出售或者非法向他人提供。

公安機關及其工作人員在履行互聯網安全監督檢查職責中獲取的信息，只能用於維護網路安全的需要，不得用於其他用途。第六條公安機關對互聯網安全監督檢查工作中發現的可能危害國家安全、公共安全、社會秩序的網路安全風險，應當及時通報有關主管部門和單位。第七條公安機關應當建立並落實互聯網安全監督檢查工作制度，自覺接受檢查對象和人民群眾的監督。第二章監督檢查對象和內容第八條互聯網安全監督檢查由互聯網服務提供者的網路服務運營機構和聯網使用單位的網路管理機構所在地公安機關實施。互聯網服務提供者為個人的，可以由其經常居住地公安機關實施。第九條公安機關應當根據網路安全防範需要和網路安全風險隱患的具體情況，對下列互聯網服務提供者和聯網使用單位開展監督檢查：

（一）提供互聯網接入、互聯網數據中心、內容分發、域名服務的；

（二）提供互聯網信息服務的；

（三）提供公共上網服務的；

（四）提供其他互聯網服務的；

對開展前款規定的服務未滿一年的，兩年內曾發生過網路安全事件、違法犯罪案件的，或者因未履行法定網路安全義務被公安機關予以行政處罰的，應當開展重點監督檢查。第十條公安機關應當根據互聯網服務提供者和聯網使用單位履行法定網路安全義務的實際情況，依照國家有關規定和標准，對下列內容進行監督檢查：

（一）是否辦理聯網單位備案手續，並報送接入單位和用戶基本信息及其變更情況；

（二）是否制定並落實網路安全管理制度和操作規程，確定網路安全負責人；

（三）是否依法採取記錄並留存用戶注冊信息和上網日誌信息的技術措施；

（四）是否採取防範計算機病毒和網路攻擊、網路侵入等技術措施；

（五）是否在公共信息服務中對法律、行政法規禁止發布或者傳輸的信息依法採取相關防範措施；

（六）是否按照法律規定的要求為公安機關依法維護國家安全、防範調查恐怖活動、偵查犯罪提供技術支持和協助；

（七）是否履行法律、行政法規規定的網路安全等級保護等義務。第十一條除本規定第十條所列內容外，公安機關還應當根據提供互聯網服務的類型，對下列內容進行監督檢查：

（一）對提供互聯網接入服務的，監督檢查是否記錄並留存網路地址及分配使用情況；

（二）對提供互聯網數據中心服務的，監督檢查是否記錄所提供的主機託管、主機租用和虛擬空間租用的用戶信息；

（三）對提供互聯網域名服務的，監督檢查是否記錄網路域名申請、變動信息，是否對違法域名依法採取處置措施；

（四）對提供互聯網信息服務的，監督檢查是否依法採取用戶發布信息管理措施，是否對已發布或者傳輸的法律、行政法規禁止發布或者傳輸的信息依法採取處置措施，並保存相關記錄；

（五）對提供互聯網內容分發服務的，監督檢查是否記錄內容分發網路與內容源網路鏈接對應情況；

（六）對提供互聯網公共上網服務的，監督檢查是否採取符合國家標準的網路與信息安全保護技術措施。第十二條在國家重大網路安全保衛任務期間，對與國家重大網路安全保衛任務相關的互聯網服務提供者和聯網使用單位，公安機關可以對下列內容開展專項安全監督檢查：

（一）是否制定重大網路安全保衛任務所要求的工作方案、明確網路安全責任分工並確定網路安全管理人員；

（二）是否組織開展網路安全風險評估，並採取相應風險管控措施堵塞網路安全漏洞隱患；

（三）是否制定網路安全應急處置預案並組織開展應急演練，應急處置相關設施是否完備有效；

（四）是否依法採取重大網路安全保衛任務所需要的其他網路安全防範措施；

（五）是否按照要求向公安機關報告網路安全防範措施及落實情況。

對防範恐怖襲擊的重點目標的互聯網安全監督檢查，按照前款規定的內容執行。

B. 企業網路安全解決方案

網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施，安全技術措施應用等

按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序，包括監測上網行為、包括入侵監測
三、從技術層面上，你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網，這樣的話你做不到上網行為管理，你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據，造成泄密 這已經是很常見的事情 所以做好主機防護很重要。

當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段

具體有什麼問題 請更新問題 我會再來回答 或者用Bai Hi來聯系我
只是我不定期在

C. 如何加強網路安全防範

加強網路安全防範的方法如下：
1、制定並實施網路安全管理制度，包括伺服器以及個人主機安全管理、包括個級別許可權管理等等。
2、制定並實施網路安全日常工作程序，包括監測上網行為、包括入侵監測。
3、從技術層面上，需要一台防火牆進行包過濾以及日誌記錄或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
4、區域網內計算機系統管理。包括操作系統防病毒，更新補丁等工作。堡壘往往是從內部攻破內部計算機中毒主動向外發送數據，造成泄密，這已經是很常見的事情，所以做好主機防護很重要。
網路是由若干節點和連接這些節點的鏈路構成，表示諸多對象及其相互聯系。在1999年之前，人們一般認為網路的結構都是隨機的。但隨著Barabasi和Watts在1999年分別發現了網路的無標度和小世界特性並分別在世界著名的《科學》和《自然》雜志上發表了他們的發現之後，人們才認識到網路的復雜性。網路會藉助文字閱讀、圖片查看、影音播放、下載傳輸、游戲、聊天等軟體工具從文字、圖片、聲音、視頻等方面給人們帶來極其豐富的生活和美好的享受。

D. 甯傚¤″矓鍏充簬鍋氬ソ璁＄畻鏈哄強緗戠粶瀹夊叏宸ヤ綔緇嗗垯

鏍規嵁銆婂悏瀹夊競搴嗙濅腑鍗庝漢姘戝叡鍜屽浗鎴愮珛70鍛ㄥ勾緗戠粶瀹夊叏淇濋殰宸ヤ綔鏂規堛(鍚夌綉鍔炲瓧[2019]2鍙)鏂囦歡瑕佹眰錛屼負鍋氬ソ鎴戝矓璁＄畻鏈虹綉緇滃畨鍏ㄥ伐浣滐紝榪涗竴姝ヨ惤瀹炵綉緇滃畨鍏ㄥ拰淇℃伅瀹夊叏綆＄悊璐ｄ換錛岀『淇濇垜灞緗戠粶瀹夊叏鍜屼俊鎮瀹夊叏錛屽垏瀹炲姞寮虹郴緇熺＄悊錛屾槑紜璐ｄ換錛屽埗璁浠ヤ笅鍏蜂綋宸ヤ綔緇嗗垯錛岃烽伒鐓ф墽琛屻

涓銆佺綉緇滅＄悊

1銆佺綉緇滅＄悊鍛樿佸瘑鍒囧叧娉ㄣ佺洃瑙嗙綉緇滆繍琛屾儏鍐碉紝璋冩暣緗戠粶鍙傛暟錛岃皟搴︾綉緇滆祫婧愶紝淇濇寔緗戠粶瀹夊叏銆佺ǔ瀹氥佺晠閫氥

2銆佸叏浣撲漢鍛樿嚜瑙夌＄悊濂借嚜宸辯殑鍚勭嶇綉緇滆處鍙鳳紝騫惰劇疆瀹夊叏絳夌駭杈冮珮鐨勫彛浠わ紝鍧氬喅鏉滅粷寮卞彛浠ゃ侀粯璁ゅ彛浠ゃ侀氱敤鍙ｄ護銆侀暱鏈熶笉鍙樺彛浠わ紝鍧氬喅闃叉㈤珮鍗辨紡媧炰笉淇澶嶃侀潪蹇呰佺鍙ｅ強鏈嶅姟闀挎湡寮鍚絳夐棶棰橈紝鍔犲己瀵硅處鍙鋒毚鍔涚牬瑙ｇ殑闃茶寖銆

3銆佹湭緇忓厑璁革紝涓嶅緱瀵逛笂緗戣＄畻鏈虹綉緇滃姛鑳藉強緗戠粶涓瀛樺偍銆佸勭悊銆佷紶杈撶殑鏁版嵁鍜屽簲鐢ㄧ▼搴忚繘琛屼慨鏀廣佸垹闄ゆ垨澧炲姞銆

4銆佸規鏌ャ佽瘎浼般佺洃嫻嬩腑鍙戠幇鐨勭綉緇滈棶棰橈紝浠ュ強鏈夊叧閮ㄩ棬閫氭姤鐨勫悇綾婚棶棰橀殣鎮ｈ繘琛屾暣鏀癸紝騫墮愪竴澶嶆煡錛岀『淇濋棶棰樺交搴曡В鍐籌紝涓嶇暀鍚庢偅銆

5銆侀槻鑼冮偖浠舵敾鍑伙紝璁ょ湡瀹℃牳寮傚父鍦板潃銆佸紓甯告椂孌電櫥闄嗗拰鎵歸噺涓嬭澆閭浠舵儏鍐碉紝鍏抽棴閭浠剁郴緇熼偖浠惰嚜鍔ㄨ漿鍙戝姛鑳姐

6銆佸湪鍗曚綅浣跨敤浜掕仈緗戙佸¤″唴緗戞椂涓嶅緱浜ゅ弶浣跨敤錛屽湪鐜版湁鐨勬潯浠朵笅鍥哄畾鍐呫佸栫綉鏈猴紝鍐呯綉鏈轟笉榪炰簰鑱旂綉銆

浜屻佺綉絝欑＄悊

1銆佸瑰栧彂甯冪殑淇℃伅搴斿叿鏈夎緝寮虹殑鏃舵晥鎬э紝騫朵笖涓嶅緱鍙戝竷榪濆弽鍥藉舵硶寰嬪強鍦版柟娉曡勭殑淇℃伅錛屼笉寰楀彂甯冧笌鍏氱殑鍚勯」鏂歸拡銆佹斂絳栫浉榪濊儗鐨勪俊鎮錛屼笉寰楀彂甯冧笉鐪熷疄鐨勪俊鎮銆

2銆佸伐浣滀漢鍛樹笉寰楁搮鑷鍦ㄧ綉絝欎笂鍙戝竷淇℃伅錛屾墍鏈変俊鎮蹇呴』緇忓垎綆￠嗗煎℃牳鍚屾剰鍚庢姤璁＄畻鏈哄¤′腑蹇冪粺涓鍙戝竷銆

3銆佸強鏃跺勭悊緗戠珯寮傚父鎯呭喌銆傜敱浜庣綉絝欑敱鏀垮簻淇℃伅涓蹇冪粺涓寤鴻劇＄悊錛岀綉絝欑＄悊鍛樿佺粨鍚堟斂搴滀俊鎮涓蹇冧笅鍙戠殑鏈夊叧閫氱煡瑕佹眰鍙婃椂澶勭悊緗戠珯寮傚父鎯呭喌銆

涓夈佹満鎴跨＄悊

1銆佺綉綆′漢鍛樺簲鍋氬ソ緗戠粶瀹夊叏宸ヤ綔錛屾湇鍔″櫒鐨勫悇縐嶅笎鍙蜂弗鏍間繚瀵嗐傜洃鎺х綉緇滀笂鐨勬暟鎹嫻侊紝浠庝腑媯嫻嬪嚭鏀誨嚮鐨勮屼負騫剁粰浜堝搷搴斿拰澶勭悊銆

2銆佸姞寮烘湇鍔″櫒鐥呮瘨闃茶寖鎰忚瘑錛屽畾鏃惰繘琛岀棶姣掓壂鎻忔嫻嬶紝鍙戠幇鐥呮瘨絝嬪埢澶勭悊錛
閲囩敤鍥藉惰稿彲鐨勬ｇ増闃茬棶姣掕蔣浠跺苟鍙婃椂榪涜屾洿鏂板崌綰э紱
鏈緇忚よ瘉璁稿彲涓嶅彲鎿呰嚜鍦ㄦ湇鍔″櫒瀹夎呮柊杞浠訛紱
榪滅▼浼犻佹暟鎹欏葷粡媯嫻嬪畨鍏ㄥ悗鏂瑰彲浼犻併

3銆佺佹㈡硠闇層佸栧熷拰杞縐諱笓涓氭暟鎹淇℃伅銆

4銆佸叧闂涓繪満鍜岀粓絝涓婁笉蹇呰佺殑絝鍙ｃ佸叡浜璁塊棶浠ュ強榪滅▼妗岄潰榪炴帴銆

5銆佸畾鏈熷規暟鎹榪涜屽囦喚銆

鍥涖佹暟鎹淇濆瘑綆＄悊

1銆佹湭緇忔壒鍑嗕笉寰楅殢鎰忔洿鏀逛笟鍔℃暟鎹銆

2銆佷俊鎮綆＄悊鍛樺繀欏諱弗瀹堣亴涓氶亾寰峰拰鑱屼笟綰寰嬶紝涓嶅緱灝嗕換浣曠敤鎴風殑瀵嗙爜銆佸笎鍙風瓑淇濆瘑淇℃伅銆佷釜浜洪殣縐佺瓑璧勬枡娉勯湶鍑哄幓銆

3銆侀噰鍙栨暟鎹鍒嗙被銆佸囦喚銆佸姞瀵嗙瓑鎺鏂斤紝鍔犲己瀵逛釜浜轟俊鎮鍜岄噸瑕佷俊鎮淇濇姢銆傞噰鐢ㄥ瘑鐮佹妧鏈搴旂﹀悎鍥藉剁＄悊鏀跨瓥瑕佹眰銆備弗鏍兼暟鎹璁塊棶鎺堟潈錛屽瓨鍌ㄩ噸瑕佹暟鎹鍜屽ぇ閲忎釜浜轟俊鎮鐨勬暟鎹搴撴帴鍏ヤ簰鑱旂綉搴旈噰鍙栦弗鏍煎畨鍏ㄩ槻鑼冩帾鏂姐傚瓨鍌ㄩ噸瑕佹暟鎹鍜屽ぇ閲忎釜浜轟俊鎮鏁版嵁鐨勮＄畻鏈轟笉寰楁帴鍏ヤ簰鑱旂綉銆

4銆佷弗紱佸湪榪炴帴浜掕仈緗戣＄畻鏈烘垨闈炴秹瀵嗙Щ鍔ㄥ瓨鍌ㄤ粙璐ㄤ笂瀛樺偍銆佸勭悊銆佷紶杈撳浗瀹剁樺瘑銆傚硅繛鎺ヤ簰鑱旂綉鐨勫伐浣滆＄畻鏈哄畨瑁呮枃妗ｆ秹瀵嗛槻鎶ょ郴緇燂紝璇ョ郴緇熷硅繛鎺ヤ簰鑱旂綉鐨勮＄畻鏈轟腑鎵鏈夋枃妗ｈ繘琛岃繘琛屾壂鎻忋佺洃嫻嬶紝涓鏃﹀彂鐜板瓨鍌ㄣ佹搷浣溿佹帴鏀舵秹瀵嗘枃妗ｅ嵆鍒繪姤璀︼紝璇峰叏浣撲漢鍛樺湪宸ヤ綔涓涓ユ牸閬靛畧淇濆瘑鍒跺害銆

浜斻佹湰瀹炴柦緇嗗垯鑷鍙戝竷涔嬫棩璧風敓鏁堛

E. 什麼是網路安全監控

網路安全監控是持續觀察用戶網路中所發生事情的過程，目的在於監測潛在的網路威脅和及早發現系統被入侵的風險。安全監控可以理解為網路安全界的「吹哨人」，它在檢測到網路攻擊時發出報警，並在造成嚴重損害之前幫助用戶做出響應，及時檢測和管理潛在威脅，有助於保護用戶的業務應用程序、數據以及整個網路。青藤雲安全是一家專業的網路安全監控廠商，截止目前青藤已服務超過1000家需要網路安全監控企業，可以具體了解看看。

F. 如何才能保障企業網路安全

1.做好基礎網路安全監測與防禦

加強員工的網路安全意識，定期對網路進行掃描，如發現安全問題，及時修復並做好基礎監測和防禦。

2.定期進行網路安全培訓

網管定期給全公司員工做網路安全培訓，讓員工了解網路安全基礎知識。可以創建模擬事件，讓員工可以直觀地了解網路釣魚攻擊的形式，以便在網路攻擊發生時你能及時識別並告知網管或聯系專業網路安全公司來解決。

3.使用復雜的密碼，並保持密碼更新頻率

對電腦、路由器、伺服器設置復雜的密碼，每年更改其次，切勿對多個設備設置相同或相似密碼。

10.接入高防服務

企業除了做好日常安全防護，還需要防止惡意流量攻擊。DDoS攻擊是最常見也最難防禦的網路攻擊之一，對於企業的伺服器殺傷力極大。而日常網路防護沒辦法防住攻擊力極強的DDoS攻擊，為了防止不必要的損失，企業可以接入墨者安全高防服務，通過墨者盾智能識別惡意流量來防止DDoS攻擊，保障伺服器穩定運行。

互聯網環境復雜，互聯網企業必須提高網路安全意識，做好防護。以上10個建議簡單、實用、可行性高，能幫助互聯網企業解決99%的網路安全問題。

G. 網路安全中edr是什麼意思

本教程操作環境：windows7系統、Dell G3電腦。
端點檢測與響應(Endpoint Detection & Response，EDR)是一種主動式端點安全解決方案，通過記錄終端與網路事件，將這些信息本地化存儲在端點或者集中在資料庫。EDR 會集合已知的攻擊指示器、行為分析的資料庫來連續搜索數據和機器學習技術來監測任何可能的安全威脅，並對這些安全威脅做出快速響應。還有助於快速調查攻擊范圍，並提供響應能力。
能力
預測：risk assessment（風險評估）；anticipate threats（預測威脅）；baseline security posture（基線安全態勢）。
防護：harden systems（強化系統）；isolate system（隔離系統）；prevent attacks（防止攻擊）。
檢測：detect incidents（檢測事件）；confirm and prioritize risk（確認風險並確鍵謹閉定優先順序）。contain incidents（包含事件）。
響應：remediate（補救）；design policy change（設計規則變更）；investigate incidents（調查事件）。
安全模型
相比於傳端點安全防護採用預設安全策略的靜態防禦技術，EDR 加強了威脅檢測和響應取證能力，能夠快速檢測、識別、監控和處理端點事件，從而在威脅尚未造成危害前進行檢測和阻止，幫助受保護網路免受零日威脅和各種新出現的威脅。安全模型如圖所示：

1、資產發現
定期通過主動掃描、被動發現、手工錄入和人工排查等多種方法收集當前網路中所有軟硬體資產，包括全網所有的端點資產和在用的軟體名稱、版本，確保整個網路中沒有安全盲點。
2、系統加固
需要定期進行漏洞掃描，打補丁、對安全策略進行更新和進一步細化，通過白名單現在未授權的軟體進行運行，通過防火牆限制為授權就開啟伺服器埠和服務，最好能定期檢查和修改清理內部人員的賬號和密碼還有授權信晌迅息。
3、威脅檢測
通過端點本地的主機入侵檢測進行異常行為分析，針對各類安全威脅，在其發生之前、發生中、和發生後作出相應的防護和檢測行為。
4、響應取證
針對全網的安全威脅進行可視化展示，對威脅自動化地進行隔離、修復和搶救，降低事件響應和取證的門檻，這樣就不需要依賴於外部專家就可以完成應急響應和取證分析。
功能
調查安全事件；
將端點修復為預感染狀態；
檢測安全事件；
包含終端事件；
工作原理
一旦安裝了 EDR 技術，馬上 EDR 就會使用先進的演算法分析系統上單個用戶的行為，並記住和連接他們的活動。
感知系統中的某個或者特定用戶的異常行為，數據會被過濾，防止出現惡意行為的跡象，這些跡象會觸發警報然後我們就去確定攻擊的真假。
如果檢測到惡意活動，演算法將跟蹤攻擊路徑並將其構建回入口點。 （關聯跟蹤）
然後，該技術將所有數據點合稿裂並到稱為惡意操作 (MalOps) 的窄類別中，使分析人員更容易查看。
在發生真正的攻擊事件時，客戶會得到通知，並得到可採取行動的響應步驟和建議，以便進行進一步調查和高級取證。如果是誤報，則警報關閉，只增加調查記錄，不會通知客戶
體系框架
EDR 的核心在於：一方面，利用已有的黑名單和基於病毒特徵的端點靜態防禦技術來阻止已知威脅。另一方面，通過雲端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發現來自外部或內部的各類安全威脅。同時，基於端點的背景數據、惡意軟體行為以及整體的高級威脅的生命周期的角度進行全面的檢測和響應，並進行自動化阻止、取證、補救和溯源，從而有效地對端點進行安全防護。
EDR 包括：端點、端點檢測與響應中心、可視化展現三個部分，體系框架如圖所示：

端點：在 EDR 中，端點只具備信息上報、安全加固、行為監控、活動文件監控、快速響應和安全取證等基本功能，負責向端點檢測與響應中心上報端點的運行信息，同時執行下發的安全策略和響應、取證指令等。
端點檢測與響應中心：由資產發現、安全加固、威脅檢測、響應取證等中心組成。
可視化：展現針對各類端點安全威脅提供實時的可視性、可控性，降低發現和處置安全威脅的復雜度，輔助用戶更加快速、智能地應對安全威脅。
檢測威脅類型
惡意軟體 (犯罪軟體、勒索軟體等)
無文件型攻擊
濫用合法應用程序
可疑的用戶活動和行為
要素類型和收集類型
EDR 是獨一無二的，因為它的演算法不僅可以檢測和打擊威脅，還可以簡化警報和攻擊數據的管理。 使用行為分析來實時分析用戶活動，可以在不幹擾端點的情況下立即檢測潛在威脅。 它通過將攻擊數據合並到可以分析的事件中，與防病毒和其他工具一起使用可以為你提供一個安全的網路，從而增強了取證分析的能力。
端點檢測和響應通過安裝在端點上的感測器運行而不需要重新啟動。 所有這些數據被拼接在一起，形成了一個完整的端點活動圖，無論設備位於何處。
主要技術
智能沙箱技術
針對可疑代碼進行動態行為分析的關鍵技術，通過模擬各類虛擬資源，創建嚴格受控和高度隔離的程序運行環境，運行並提取可疑代碼運行過程中的行為信息，實現對未知惡意代碼的快速識別。

機器學習技術
是一門多學科交叉知識，是人工智慧領域的核心，專門研究計算機如何模擬實現人類的學習行為，通過獲取新的技能知識重組已有的知識體系，並不斷完善自身性能。在大規模數掘處理中，可以自動分析獲得規律，然後利用這些規律預測未知的數據。

數字取證技術
數字取證是指對具有足夠可靠和有說服力的，存在於計算機、網路、電子設備等數字設備中的數字證據，進行確認、保護、提取和歸檔的過程。在 EDR 中，數字取證要克服雲計算環境取證、智能終端取證、大數據取證等關鍵技術，自動定位和採集端點人侵電子證據，降低取證分析的技術門檻，提高取證效率及其分析結果的准確性，為端點安全事件調查、打擊網路犯罪提供技術支持。
EDR 優缺點
優點
EDR 具有精準識別攻擊的先天優勢。端點是攻防對抗的主戰場，通過 EDR 在端點上實施防禦能夠更加全面地搜集安全數據，精準地識別安全威脅，准確判定安全攻擊是否成功，准確還原安全事件發生過程。
EDR 完整覆蓋端點安全防禦全生命周期。對於各類安全威脅事件，EDR 在其發生前、發生中、發生後均能夠進行相應的安全檢測和響應動作。安全事件發生前，實時主動採集端 安全數據和針對性地進行安全加固；安全事件發生時，通過異常行為檢測、智能沙箱分析等各類安全引擎，主動發現和阻止安全威脅；安全事件發生後，通過端點數據追蹤溯源。
EDR 能夠兼容各類網路架構。EDR 能夠廣泛適應傳統計算機網路、雲計算、邊緣計算等各類網路架構，能夠適用於各種類型的端點，且不受網路和數據加密的影響。
EDR 輔助管理員智能化應對安全威脅。EDR 對安全威脅的發現、隔離、修復、補救、調查、分析和取證等一系列工作均可自動化完成，大大降低了發現和處置安全威脅的復雜度，能夠輔助用戶更加快速、智能地應對安全威脅。
缺點
EDR 的局限性在於並不能完全取代現有的端點安全防禦技術。EDR 與防病毒、主機防火牆、主機入侵檢測、補丁加固、外設管控、軟體白名單等傳統端點安全防禦技術屬於互補關系，並不是取代關系。
技術前提
要想使用或者更好的的理解 EDR 就需要對一些知識有了解，這樣才能更好地的使用和理解 EDR 的原理和使用方法。
熟悉 Linux 環境，python 或 shell，Java；
熟悉 hadoop，spark 等大數據組件；
熟悉數據挖掘與分析（比如進行風險等級劃分），數據統計技術（比如一些置信度的計算），機器學習技術（分類檢測等），深度學習技術，大數據分析技術（主要是關聯分析），漏斗分析法等。
熟悉 mysql 或 nosql 資料庫，集中存儲的資料庫，分布式存儲的資料庫。