EDR 主要有哪些技術

端點檢測與防護（Endpoint Detection and Response，EDR）是一種基于采集、記錄并存儲數字環境中各端點行為數據與狀態數據，并對數據進行關聯分析，以應對威脅的安全能力，主要包括以下技術：

• 沙箱技術：是針對可疑代碼進行動態行為分析的關鍵技術，通過模擬各類虛擬資源，創建嚴格受控和高度隔離的程序運行環境，運行并提取可疑代碼運行過程中的行為信息，實現對未知惡意代碼的快速識別。

• 機器學習技術：是一門多學科交叉知識，是人工智能領域的核心，專門研究計算機如何模擬實現人類的學習行為，通過獲取新的技能知識重組已有的知識體系，并不斷完善自身性能。在大規模數掘處理中，可以自動分析獲得規律，然后利用這些規律預測未知的數據。

• 大數據關聯分析技術：在EDR中，端點采集的各類安全運行數據是終端安全工作中防御、檢測和響應的重要依據。對海量終端安全數據進行自動智能化的關聯分析，追溯其攻擊過程，尋找漏洞源和攻擊源，是有效防御和確保終端安全的重要途徑和方法。

• 攻擊場景重構技術：在EDR中，攻擊場景重構通過對關聯規則及知識的形式化表述，將龐雜，無序的安全數據流轉換為結構化、易于理解的攻擊場景，將反映攻擊過程和意圖的場景圖呈現出來，發現攻擊者的攻擊策略和目的，甚至推測漏報的告警和預測下一步可能的攻擊行為，以協助管理人員獲取更有價值的網絡安全信息。

• 數字取證技術：數字取證是指對具有足夠可靠和有說服力的，存在于計算機、網絡、電子設備等數字設備中的數字證據，進行確認、保護、提取和歸檔的過程。在EDR中，數字取證要克服云計算環境取證、智能終端取證、大數據取證等關鍵技術，自動定位和采集端點人侵電子證據，降低取證分析的技術門檻，提高取證效率及其分析結果的準確性，為端點安全事件調查、打擊網絡犯罪提供技術支持。

回答所涉及的環境：聯想天逸510S、Windows 10。