利用终端集成探针功能实现对终端的持续性监控，全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等，为终端威胁可见性的提升提供基础数据支撑。

当一个威胁产生时，EDR解决方案不是直接提供一个告警，而是以这个威胁源为起点自动关联这个威胁的来源和方式，在终端上执行的操作以及操作带来的影响，并形成一个威胁告警，管理人员通过查看告警即可了解这个安全事件的全貌。

利用关联分析技术，将终端上不同时间段、不同类别的活动信息进行关联分析，以洞悉其中存在的异常行为和可能存在的攻击，有效减少产生的威胁告警信息，避免漏报和误报对管理人员造成影响，让威胁事件变得更容易解读和处置。

对终端的持续性监控，为管理人员带来了全网安全可视性的提升，进一步增强了针对网络内终端的安全公告能力，利用安全调查功能根据终端安全关注的不同维度实现全网快速检索，主动发现和追踪存在的威胁，以便在威胁产生影响之初做出响应和处置。

而EDR软件防人要先防己，打铁还要自身硬。EDR一般是系统进程级防护，管理员自己都卸载不掉，应用权限极高，如果漏洞被恶意利用，如向全网终端推送恶意程序，危害巨大，后果不堪设想。

因为业务需求，我们公司也部署了某深姓的EDR产品，不得不佩服产品的实力。说几个使用EDR后的真实感受。

首先，软件权限极高，可以访问到终端上所有的文件系统，而且对于可能存在风险的文件可以直接拦截。举个例子，你可能自己编了一个小程序，因为系统无法跟已有的文件特征进行匹配，EDR就可以直接把这个文件隔离起来，禁止运行，并且可能会上传到服务器进行进一步分析。

进一步讲，如果有需要，可以对浏览器下载的文件、对IM软件接收的文件等进行实时分析。因为权限太高，所以这里的文件就不限于一些简单的文件了，有可能是IM软件中的聊天记录、图片和语音信息等等，都可以进行分析。比如之前某公司的产品可以实施分析员工是否有离职倾向等等，就是这么来的。

除了文件之外，EDR还可以执行动作，比如拦截软件的安装，已经有不少小伙伴反馈安装EDR之后系统更新异常、软件安装异常、驱动更新异常等等。还可以拦截浏览器，比如拦截一些非法站点或者存在风险的站点，当然，因为系统特征库不完善，可能存在访问企业内部正常的业务系统被拦截的情况，在开始部署EDR时，这些都会是家常便饭。