沙利文：2026年中国端点检测与响应（EDR）市场研究报告

端点检测与响应（EDR）在当前主流安全产品体系中，应被理解为一种以端点为核心的数据驱动型安全能力，而非传统意义上的防护工具、杀毒工具。EDR通过对终端设备（如主机、服务器等）的持续监测与行为记录，构建细粒度的运行态可观测性，持续、自动化地采集端点在运行过程中的多维行为数据，将原本不可见的系统内部活动转化为可分析的安全信号，从而实现对潜在威胁的识别、分析与响应。在此过程中，EDR不仅承担实时检测与处置功能，还通过对端点活动数据的长期积累与关联分析，为威胁狩猎与事件溯源提供扎实的基础支撑。我们充分认识到，EDR并非单纯是针对恶意文件或行为的检测、杀毒、清理工具，而更是以端点为核心的安全行为数据基础设施与分析引擎，是持续记录、建模并解释端点行为的安全遥测系统。