tag

偵測

該標籤下有 4 篇文章

EDR 是什麼 — 記錄終端「行為」、偵測並回應已繞過防線的攻擊的機制

EDR 持續記錄終端行為，偵測可疑動向（偏 IOA），並進一步執行隔離、調查等回應。它用行為與時間軸捕捉以特徵碼／IOC 比對為主的傳統 AV 會漏掉的無檔案攻擊和正規工具濫用。小規模環境往往並不需要完整 EDR，借助作業系統內建防護＋紀錄＋IOA 的思路即可獲得大量價值。

IOA（攻擊指標）是靠攻擊的「行為」（提權→橫向移動→對外外傳等手法的流程）來察覺的思路，與事後痕跡 IOC 成對。雜湊和 IP 攻擊者一瞬就能改，但手法（行為）難以改變＝IOA 更長效。即便規模小，只要關注「與平時不同的舉動」也能靠近這一思路。

IOC（入侵指標）是入侵留下的痕跡＝已知惡意的檔案雜湊、通訊對端 IP/網域、URL、異常程序等。其價值在於能機械地偵測並攔截已知的壞東西。但它是攻擊者可以隨手丟棄、隨意更換的事後線索，所以 IOC 比對只是「最後的比對材料」，並非萬能。真正的關鍵是不會著火的設計（最小權限・打修補程式・MFA）。

C2 是被入侵的終端回連攻擊者伺服器（回呼/信標）、用於接收命令與外傳資料的遠端操控通道，處於入侵「之後」的階段。偵測的關鍵是外向的可疑定期通訊與已知的惡意目的地。防禦靠出口（egress）控制·DNS 監控·IOC/IOA 比對·最小權限。在入侵調查中，確認「不存在常駐 C2」也很重要。