DR

即 “D” 表示检测，“R” 表示响应。

早期

在网络安全市场的早期，防病毒软件占统治地位，方法非常简单。只要潜在威胁与已知威胁的签名或特征相匹配，它就会被终止或阻止执行。这种方法在一段时间内运行良好，但一旦威胁情况开始变化，这种方法就过时了。首先，恶意软件设计者很快就学会了创建能够绕过防病毒工具的多态病毒代码。其次，针对活跃的人类攻击者，传统的防病毒软件提供的保护很少

现代技术使用简单的签名匹配之外的方法检测广泛的威胁，以及一旦发现威胁就能够快速有效地做出响应的能力。

EDR

1. EDR，或端点检测和响应,全球市场预计在未来几年内每年将超过 70 亿美元，并且有可能上升到更高。t它是传统防病毒的继承者，弥补了防病毒的很多缺点。
2. EDR 代理软件被部署到组织内的端点，并开始记录该系统上发生的活动。我们可以将这些代理描绘成关心该设备上运行的进程和事件的安全摄像头。然后，EDR 代理使用这些记录的数据来检测潜在的威胁。
3. EDR 有许多方法可以检测威胁。有些通过机器学习在端点上进行本地检测，有些将所有记录的数据转发到内部控制服务器进行分析，有些将记录的数据上传到云进行检测和检查，更多的是使用多种方法的混合方式。
4. EDR 中的检测可以基于一系列机制，包括人工智能、威胁情报、行为分析、攻陷指标 (IOC)，以及取决于不同供应商的独特方法。这些工具还提供不同范围的响应能力，其中可能包括触发警报、将机器与网络隔离、回滚到已知的良好状态、删除或终止威胁以及生成取证证据文件等操作。

NDR

NDR 从流经组织的网络流量中检测数据。NDR 供应商可能有多种方法来观察和分析这种流量，但通常需要一个网络探头。典型的物理网络设备、虚拟设备或两者的组合。然后，这些探头被放置到网络中，在流量流向目的地时观察流量，或者以镜像方式，流量的副本被转发以供分析。

NDR 不像 EDR 那样基于不寻常的进程或细粒度事件来检测威胁，而是基于异常或未经授权的协议、端口利用、奇怪的使用时间和传输大小等来查找潜在威胁。

网络检测和响应 (NDR) 解决方案调查您的网络中已知和未知的威胁和可疑活动，持续分析来自网络的流量，创建正常行为模式。为了检测网络中的异常流量，NDR 解决方案主要使用非基于签名的工具 (机器学习或其他分析技术)，不像传统软件依赖于被归类为恶意或非恶意的签名。

使用 NDR 解决方案将显著提高整个组织网络的可见性，覆盖任何盲点。基于无签名的 AI 学习使 NDR 能够正确识别更复杂的、无文件的恶意软件。它的分析和行为特性将为已知和未知的恶意软件提供更准确的威胁警报。

NDR 专注于分析网络流量中的数据包数据，是最可靠、准确、全面的信息源。NDR 解决方案通过提供网络上下文和对威胁的自动化响应来提高安全性，允许网络和安全团队之间进行更多的协作，并更快地进行修复。

TDR

1. TDR 技术的两种最常见的用法，端点 TDR 和分析 TDR。
2. 端点 TDR 本质上是对 EDR 及其可能生成的大量数据的一种改进方法。正如我们所讨论的，传统的 EDR 旨在尽可能多地记录端点上发生的事件数据。这意味着它不仅可以检测威胁，还可以为安全分析师、事件响应人员和威胁猎人提供有价值的数据池，以便在调查期间进行查询。不幸的是，这也造成了一种情况，即 EDR 工具记录的大量数据被视为不必要的噪音。