1、端點檢測與響應（(EndpointDetectionandResponse，EDR）：完全不同于以往的端點被動防護思路，而是通過云端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發現來自外部或內部的安全威脅，并進行自動化的阻止、取證、補救和溯源，從而有效對端點進行防護。〖125字〗

2、（2）將端點修復為預感染狀態；〖12字〗

3、該態勢感知體系將美國境內（包含離岸）的網絡空間中，其認為的敏感區域劃分為兩個部分（軍事網絡，聯邦網絡），分別交由國土安全部（DHS）和國家安全局（NSA）來分別實施細粒度監控，并通過國家標準化技術研究院（NIST）開發的一套威脅情報交換標準，將兩家單位掌握的“網絡空間威脅情報”進行高效互動，保證了其“網絡空間態勢感知體系”的效能最大化，輸出網絡空間威脅分析報告，輔助國家政治戰略。〖168字〗

4、對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。〖33字〗

5、使用威脅情報：這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。〖137字〗

6、態勢感知的檢測指標更廣了，不僅僅收集網絡層、主機層數據，通常還會收集各系統日志、安全設備日志等等，通過大數據分析識別威脅，可以直觀的將風險展示出來，各廠商的態勢感知設備都有自己的一套定量計算標準。〖90字〗

7、EDR的四種能力：〖8字〗

8、而究其本質原因之一，是其自2001年開始規劃建設的一套“網絡空間態勢感知體系”。〖36字〗

9、（2）防護：hardensystems（強化系統）；isolatesystem（隔離系統）；preventattacks（防止攻擊）。〖55字〗

10、舉例：360天擎終端檢測與響應系統，融入了360威脅情報、大數據安全分析等功能，可以實時檢測用戶端點的異常行為和漏洞，通過與360威脅情報對比，能夠及時發現威脅，做出木馬隔離和漏洞修補的安全響應。〖90字〗

11、（3）檢測：detectincidents（檢測事件）；confirmandprioritizerisk（確認風險并確定優先順序）。containincidents（包含事件）。〖77字〗

12、傳統IDS分網絡層NIDS、主機層HIDS兩種，NIDS通常部署在網絡關鍵節點分析流量發現威脅后預警，HIDS通常在主機上安裝agent，通過監視主機進程、文件、日志等發現異常行為后預警。〖87字〗

13、開源情報,是指通過對公開的信息或其它資源進行分析后所得到的情報.開源情報的利用其實比人們更感興趣的秘密情報的使用更古老,但長期以來開源情報的價值遠不及秘密情報,以至并沒有得到專門的關注.〖88字〗

14、使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。〖49字〗

15、建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。〖107字〗

16、必備功能：〖4字〗

17、聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。〖49字〗

18、而公開情報單單指的是公開的信息和資源。所以兩者的區別就是來源情報的包含的信息比公開情報的廣。〖44字〗

19、（1）調查安全事件；〖7字〗

20、對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。〖56字〗

21、（1）預測：riskassessment（風險評估）；anticipatethreats（預測威脅）；baselinesecurityposture（基線安全態勢）。〖71字〗

22、（4）包含終端事件；〖7字〗

23、（3）檢測安全事件；〖7字〗

24、收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。〖70字〗

25、（4）響應：remediate（補救）；designpolicychange（設計規則變更）；investigateincidents（調查事件）。〖62字〗

26、所謂開源情報,是指通過對公開的信息或其它資源進行分析后所得到的情報。開源情報的利用其實比人們更感興趣的秘密情報的使用更古老,但長期以來開源情報的價值遠不及秘密情報,以至并沒有得到專門的關注。〖90字〗

27、

28、EDR實質上是集成在安全氣囊控制單元中的一個軟件模塊，它可以記錄車輛碰撞前、碰撞時、碰撞后三個階段中汽車的運行關鍵數據。比如你駕車行駛時的車速、方向盤的轉向角度、制動踏板的情況等等〖84字〗

29、在大國博弈的時代背景下，“網絡空間安全”作為非傳統安全領域的代表，一再使我國政治陷入被動局面，掣肘我國發展。〖48字〗