选EDR必看！这份遥测数据对比报告揭露了哪些真相？

终端检测与响应（EDR）产品已成为企业网络安全战略的核心工具。因此，理解这些产品提供的遥测数据对于构建检测规则和开展威胁狩猎至关重要。

拥有合适的日志数据不仅能辅助创建检测规则，还能有效响应安全警报。当分析师获得所需的日志时，他们可以缩短调查警报或搜寻其他恶意活动的时间。EDR 作为遥测数据的重要来源，能够整合海量数据。然而，并非所有 EDR 都能提供同等丰富的遥测数据，这可能导致分析师在调查中难以快速得出结论。

本文中，我们将探讨 EDR 遥测项目的目标、其功能定位、局限性，以及它如何同时惠及 EDR 厂商和用户。

什么是EDR遥测数据？

EDR遥测数据是指由终端检测与响应（EDR）产品和工具收集并传输的数据。EDR产品旨在监控、检测和响应终端设备（如计算机、服务器及网络中的其他设备）上的潜在威胁与可疑活动。EDR系统生成的遥测数据能够为终端上发生的安全事件和活动提供关键洞察。

在本项目中，遥测数据的定义为：由传感器实时自动采集并传输的数据源。

EDR遥测项目的目标

EDR遥测项目的主要目标是推动EDR厂商在向客户提供遥测数据时更加透明。目前，几乎所有EDR厂商出于知识产权保护和竞争优势等原因，均未公开其检测规则。但我们认为，遥测数据性质不同，厂商应公开其产品能生成的原始遥测数据。当EDR厂商开放遥测数据时，用户能更清晰地理解所收集的数据，并据此构建符合自身环境和安全需求的定制化检测规则。

通过对比不同EDR产品的遥测数据，该项目旨在帮助用户在选型时做出更明智的决策。但需注意，遥测数据仅是衡量EDR产品的众多指标之一，因此不可将其作为产品对比的唯一依据。

方法论

为确保EDR遥测项目对比表的准确性与可靠性，我们采用系统化方法填充数据：

1. 文档分析：基于各厂商的公开文档，解析其数据表结构并填充对应字段。

2. 独立测试：若文档信息不足，则通过实际测试验证（如使用Atomic Red Team项目）。例如，评估“计划任务创建”子类时，会执行Atomic Test #2——Scheduled Task Local，以获取预期遥测结果。

3. 证据审核：所有贡献者提交的数据均需附有验证证据（如原始日志、文档或截图），确保对比表数据的真实性。

遥测对比表

遥测对比表是本项目的核心成果，用于横向比较不同EDR产品的遥测数据覆盖范围。需特别说明：该表仅反映各产品的遥测数据能力，不涉及威胁检测或防护性能评估。

完整数据请访问：Telemetry Comparison Table(https://docs.google.com/spreadsheets/d/1ZMFrD6F6tvPtf_8McC-kWrNBBec_6Si3NW6AoWf3Kbg/edit?usp=sharing)

遥测对比表的纳入标准

遥测对比表仅关注开箱即用的事件数据，不包括信号（检测/关联事件）或附加模块/集成功能。这是因为追踪不同配置和纳入EDR厂商提供的其他模块具有较高复杂性。因此，对比范围仅限于安装EDR传感器后客户可默认获取的遥测事件。

在初始版本中，我们优先聚焦的是威胁狩猎和威胁检测最具价值的核心事件类别，主要包括：

• 进程执行：终端运行的进程信息，包括进程名称、命令行参数和父子进程关系

• 文件系统活动：文件创建、修改、删除等文件系统事件详情

• 计划任务与服务：终端计划任务和服务信息，含任务名称、执行时间、触发器、操作及服务状态。该数据可帮助安全团队监控攻击者可能用于持久化、横向移动或权限提升的恶意任务

• 网络连接：进程建立的网络连接信息，包括IP地址、端口号、协议类型和连接状态等

• 注册表活动：Windows注册表的键值创建、修改和删除等变更记录

• 用户活动：终端用户登录、注销及其他用户相关事件

• 系统配置变更：系统设置、安全策略等配置的改动信息

项目局限性说明

尽管本项目致力于提供EDR产品遥测数据的深度洞察，但需明确以下限制：

1. 数据时效性：EDR产品的遥测能力可能持续升级，表格内容未必始终反映最新状态

2. 系统覆盖范围：当前仅支持Windows系统，未来计划扩展至Linux和MacOS

3. 验证方式：优先通过获取EDR试用版进行实际测试（如使用Atomic Red Team生成遥测数据） 若无法获取试用，则依赖贡献者根据厂商文档提供的信息

4. 厂商参与：诚邀EDR厂商直接参与项目，可通过修正现有数据、提供文档或开放产品试用权限进行验证

参考文章：https://detect.fyi/edr-telemetry-project-a-comprehensive-comparison-d5ed1745384b