阿摩線上測驗
41.現代端點防護系統除了比對病毒特徵碼外,還能偵測異常行為並回溯事件,以協助事件處理。
這種功能通常屬於下列何者?
(A) EDR
(B)防火牆
(C) IDS
(D) NAT
答案:登入後查看
統計: A(6), B(2), C(9), D(0), E(0) #3807007
統計: A(6), B(2), C(9), D(0), E(0) #3807007
詳解 (共 1 筆)
JL
#7320081
EDR (Endpoint Detection and Response, 端點偵測與回應)
EDR 是傳統防毒軟體(AV)的進化版。它的核心價值在於「持續監控」與「行為分析」。
-
偵測異常行為:不只看檔案的特徵碼(Signature),還會觀察程式的「行為」。例如,一個正常的 Word 文件為何突然啟動 PowerShell 並嘗試加密硬碟?這就是典型的勒索病毒行為。
-
事件回溯 (Forensics):EDR 會像飛機的「黑盒子」一樣,記錄端點上發生的所有活動(行程啟動、網路連線、檔案修改)。當攻擊發生時,資安人員可以回溯整個攻擊鏈(Kill Chain),釐清駭客是從哪裡進來的。
-
協助事件處理:提供主動回應功能,例如一鍵隔離受感染的電腦、阻斷特定惡意程序。
ㅤㅤ
(C) IDS (Intrusion Detection System): 側重於「網路流量」的監聽與警報。雖然能偵測網路攻擊,但它不具備端點內部的深度監控與回溯功能。
0
0