什么样的终端检测与响应(EDR)能成为大型政企首选？

一个可落地、有效果、能持续为客户带来价值的EDR产品应该具备以下能力——

记录（对终端上静态信息、动态行为等内容进行完整记录）：采集数据的多样性、采集内容的精准性检测对抗能力；
告警（根据记录信息匹配风险规则，快速告警）：外部情报对接、海量数据处理；
发现（基于告警信息和记录内容发现明确威胁事件）：自定义专家规则、主流专家规则兼容；
调查（调查威胁事件发生原由、安全漏洞及影响面）：实时调查能力、顺序调查能力；
处置（针对威胁事件影响面终端快速响应处置，针对安全漏洞快速加固）：威胁事件响应能力、安全漏洞加固能力。联软科技通过UniEDR终端检测与响应系统为大型政企提供威胁检测和响应处置于一体的终端安全管理系统平台，通过记录、告警、发现、调查，处置，最终形成闭环。高度匹配大型政企项目需求，为用户构筑强大的风险展示能力、风险检测能力、威胁响应能力，以及信息处理能力。

联软UniEDR终端检测与响应系统是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的，用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管理系统平台。产品可通过现有联软EPP管控平台进行扩展，在统一管理平台统一客户的基础上，实现安全能力互补，通过UniEDR系统发现威胁、处置威胁、分析威胁，联软EPP平台通过威胁追溯分析结果持续化改进终端安全管理配置，使企业内部终端安全实现持续上升完善的趋势。联软UniEDR通过终端系统级数据进行全面采集，基于ATT&CK框架对终端上的危险行为和入侵行为进行检测，基于机器学习对终端上的异常行为进行检测，内置专家规则和诱饵对恶意行为进行快速判定，同时针对上述威胁进行及时告警，并通过威胁调查工具进行全面取证，通过控制、隔离、删除等措施进行处置，并对受损终端进行恢复。

经国内多家头部客户测评，联软数据采集能力（遥测数据）表现最为优异，远超同行。高质量数据采集，降低漏报误报率，为客户构筑更强大的安全情报威胁方面的响应和检测能力。
针对客户配备了安全攻防团队

多类型专家规则自由组合，深度发现威胁事件。支持YARA/McAfee/Braise语法方式，可实现静态/动态/语言等不同维度的自定义方式，不仅满足复杂专家规则定义和开源规则使用，同时可复用大型政企已积累专家规划库。
 更高的ROI：良好的性能占用 

CPU<=2%，内存<=150M

针对每一个类型的数据，分别采用不同的最高效的技术，尽可能在内核级别完成计算，减少内核到应用层的切换。整体性架构平台，同一Agent集成准入控制、桌管、防泄密功能，根据企业需求与业务发展快速无缝扩展；1500万+Agent部署数量，良好的兼容性，系统资源占用更少，大幅节省终端硬件投入，提升员工使用体验；与联软NDR、CWPP无缝联动，所有产品基于统一威胁检测模型实现高效检测和更加全面的威胁处置。

更快速：基于ATT＆CK攻击矩阵，快速识别告警安全风险 

以MITER ATT＆CK™为基础，系统化对威胁检测策略规划，相比传统依赖已知案例专家规则，能够更全面的对威胁进行防御，发现未知潜在威胁；独创的高速数据存储、处理引擎和图计算模型，大幅提升计算速度，有效提升威胁调查的速度，更早发现威胁。

更安全：多终端节点架构，保障客户环境稳定 

节点服务器具备数据缓存能力：可支持定时上报，有效减轻网络并发压力，以及局域网专网出口的压力；按需采集技术：根据实际威胁场景的检测点进行采集内容条件组合，实现高效的数据收集，同时支持数据上报速率自定义，降低对带宽影响；内置轻量级数据库引擎：实现高保真度的分布式存储，可支持多级存储模式，终端上传核心关键安全数据，本地保留更丰富的基础数据，既保证终端数据的完整，也减少了服务端的存储和网络带宽压力。

更放心：终端数据实时查询，分钟级调查取证 

基于威胁线索，对可疑终端进行实时调查。内置60+项单点运维功能，通过Agent接口调用终端实时状态和历史追溯，在不影响用户办公情况下实现远程调查取证工作。并且可以保障紧急时期的快速响应调查。

更全面：基于EPP的威胁响应，处置结合修复 

更领先：18年终端技术积累和大型项目服务经验 

作为中国企业端点安全领导者，中国UEM统一终端管理领域领导者，国产自主安全可控的网络安全管控技术领军厂商、全球最早的网络准入控制厂商之一，联软科技在终端安全管理系统领域积累了雄厚的技术实力和丰富的大型项目服务经验。EDR产品必须经过大型客户联合打磨和实践，才能更符合大型政企的需求。联软EDR交付团具有丰富的大型EDR项目建设经验，充分了解把控和规避项目风险。

未来，联软科技将继续深耕前沿科技，扎实推进创新发展，为推动政企网络安全体系建设、加快推进数字化转型升级提供有力支撑。