kunal-5055/EDR-Workflow

# 🔐 SOC 中的 EDR 工作流 本项目解释了安全运营中心 (SOC) 中 **端点检测与响应 (EDR)** 的架构、工作流和角色。它演示了安全团队如何实时检测、分析和响应基于端点的威胁。 ## 📌 什么是 EDR？ 端点检测与响应 (EDR) 是一种网络安全解决方案，持续监控端点设备（如笔记本电脑、服务器和工作站），以检测、调查和响应威胁。 ### 关键特性： - 🔍 持续监控（全天候端点活动） - ⚡ 实时威胁检测 - 🛡️ 自动响应（隔离主机，结束进程） - 🔬 取证调查（攻击时间线与根本原因） ## 🏗️ EDR 架构 EDR 包含三个主要层级： 1. **端点** - 笔记本电脑、服务器、云负载 2. **EDR 代理** - 收集遥测数据（进程、网络、文件活动） 3. **EDR 平台** - 威胁检测（ML、行为分析） - 告警生成 - SOAR 集成 ## ⚙️ EDR 如何工作 1. **收集** – 端点数据（进程、日志、网络） 2. **检测** – 使用 ML 和特征识别威胁 3. **分析** – 关联事件并映射到 MITRE ATT&CK 4. **响应** – 隔离主机，封禁 IP，结束进程 5. **修复** – 移除威胁并恢复系统 ## 👨‍💻 SOC 中的 EDR（角色） ### 🔹 SOC L1（分诊分析师） - 监控告警 - 识别真/假阳性 - 初步调查 - 上报事件 ### 🔹 SOC L2（事件响应员） - 深度调查 - 时间线分析 - 抑制与响应 ### 🔹 SOC L3（威胁猎人） - 威胁狩猎 - 创建检测规则 - 根本原因分析 ## 🔄 EDR 工作流（Playbook） 1. 检测 → 识别出可疑活动 2. 告警 → 在 EDR 中生成告警 3. 分诊 → L1 验证告警 4. 调查 → L2 进行深度分析 5. 抑制 → 隔离受感染端点 6. 根除 → 移除恶意软件 7. 恢复 → 恢复系统 ## 🚀 核心能力 - 🔎 威胁狩猎 - 📊 MITRE ATT&CK 映射 - 🤖 自动化 Playbook (SOAR) - 🧬 行为分析 - 📁 取证时间线 - ☁️ 云与混合安全 ## ⚔️ EDR 与传统杀毒软件对比 | 特性 | 杀毒软件 | EDR | |-------------------|----------|-----| | 检测 | 基于特征 | 行为 + ML | | 零日威胁 | 有限 | 强 | | 可见性 | 低 | 高 | | 响应 | 基础 | 高级 | | 威胁狩猎 | 否 | 是 | ## 🎯 关键要点 - EDR 提供对端点的 **实时可见性** - 帮助 SOC 团队进行 **检测、调查和响应** - 利用 **自动化 (SOAR)** 减少响应时间 - 通过 **MITRE ATT&CK 映射** 增强安全性 ## 📄 项目目的 本项目专为以下人员设计： - SOC 分析师 (L1) 初学者 - 网络安全专业学生 - 蓝队学习者 ⭐ 如果你觉得这个项目有用，请考虑给一个 Star！

标签：AMSI绕过, DAST, DNS 反向解析, EDR, HTTP工具, IP 地址批量处理, IP封禁, L1分析师, Mr. Robot, 主机隔离, 后渗透, 威胁检测, 安全培训, 安全工作流, 安全运营, 安全运营中心, 库, 应急响应, 恶意软件分析, 扫描框架, 流量嗅探, 端点检测与响应, 网络安全, 网络安全审计, 网络映射, 脆弱性评估, 脱壳工具, 速率限制, 防御加固, 隐私保护