在規(guī)劃、選擇和部署終端檢測(cè)與響應(yīng)(Endpoint Detection and Response, EDR) 解決方案之后，在EDR運(yùn)行期間你只需要記住這些事情：

　　發(fā)現(xiàn)并存儲(chǔ)終端信息是關(guān)鍵

為了有效保護(hù)機(jī)構(gòu)的終端，你需要了解整個(gè)終端的環(huán)境和背景。這不僅包括存儲(chǔ)并記錄所有現(xiàn)有終端的固件，還包括其操作系統(tǒng)、應(yīng)用版本，這樣，一旦出現(xiàn)違反機(jī)構(gòu)安全政策的改動(dòng)，就可以有效利用這些數(shù)據(jù)。

它還包括不斷監(jiān)測(cè)新的終端，因?yàn)樗鼈冇锌赡車L試訪問企業(yè)網(wǎng)絡(luò)。所有未經(jīng)批準(zhǔn)的終端條目都應(yīng)當(dāng)被自動(dòng)化地立即攔截。

檢測(cè)、響應(yīng)、預(yù)防之間的隔閡需要最小化

EDR中最重要的挑戰(zhàn)之一就是減少”機(jī)構(gòu)發(fā)現(xiàn)威脅和進(jìn)行適當(dāng)?shù)捻憫?yīng)”之間的時(shí)間差，以及“機(jī)構(gòu)進(jìn)行響應(yīng)和將其整合進(jìn)預(yù)防性安全措施”之間的時(shí)間差。

幸運(yùn)的是，機(jī)構(gòu)可以通過兩個(gè)方式減少這其中的差距。首先，他們可以為終端的正常行為設(shè)立基準(zhǔn)線，這樣將會(huì)告訴他們什么才是“安全”和 “正常”的行為，進(jìn)一步可以分析配置的變化情況，也即 漂移”。

其次，他們可以利用威脅情報(bào)、商業(yè)背景和在安全方面的努力，不但找出所有威脅，也考慮到其優(yōu)先級(jí)和嚴(yán)重程度。有了這個(gè)信息，機(jī)構(gòu)可以自動(dòng)創(chuàng)建一個(gè)關(guān)于補(bǔ)丁的時(shí)間表，根據(jù)其嚴(yán)重性和優(yōu)先級(jí)來快速響應(yīng)威脅，而無需人工進(jìn)行干預(yù)。

所有東西都與安全成熟度有關(guān)

EDR在支持安全的企業(yè)文化中工作效率最高，比如企業(yè)會(huì)采取正規(guī)的形式部署安全策略和進(jìn)行培訓(xùn)。因此，想要最大限度利用EDR系統(tǒng)的機(jī)構(gòu)應(yīng)當(dāng)謹(jǐn)記安全是一個(gè)過程，并提升自身的安全成熟度。這意味著企業(yè)必須不斷進(jìn)行安全意識(shí)培訓(xùn)，制定安全策略，并創(chuàng)建安全流程。

機(jī)構(gòu)還應(yīng)當(dāng)確保EDR解決方案被配置成能夠與其它安全基礎(chǔ)設(shè)施相互整合的模式。通過這一步驟，他們能夠讓互相割裂的安全系統(tǒng)相互整合，找到威脅。

EDR的生命周期永不終結(jié)

成百上千乃至數(shù)百萬(wàn)的新的數(shù)字威脅每天都在誕生。知道了這一點(diǎn)，機(jī)構(gòu)應(yīng)當(dāng)對(duì)新威脅的跡象隨時(shí)保持警惕，使用對(duì)舊威脅的響應(yīng)方式創(chuàng)建新的預(yù)防措施，不斷檢測(cè)新的終端與配置上的變化，并努力減少檢測(cè)、響應(yīng)和預(yù)防之間的差距。