在规划、选择和部署终端检测与响应 (Endpoint Detection and Response, EDR) 解决方案之后，在EDR运行期间你只需要记住这些事情：

发现并存储终端信息是关键

为了有效保护机构的终端，你需要了解整个终端的环境和背景。这不仅包括存储并记录所有现有终端的固件，还包括其操作系统、应用版本，这样，一旦出现违反机构安全政策的改动，就可以有效利用这些数据。

它还包括不断监测新的终端，因为它们有可能尝试访问企业网络。所有未经批准的终端条目都应当被自动化地立即拦截。

检测、响应、预防之间的隔阂需要最小化

EDR中最重要的挑战之一就是减少”机构发现威胁和进行适当的响应”之间的时间差，以及“机构进行响应和将其整合进预防性安全措施”之间的时间差。

幸运的是，机构可以通过两个方式减少这其中的差距。首先，他们可以为终端的正常行为设立基准线，这样将会告诉他们什么才是“安全”和 “正常”的行为，进一步可以分析配置的变化情况，也即 漂移”。

其次，他们可以利用威胁情报、商业背景和在安全方面的努力，不但找出所有威胁，也考虑到其优先级和严重程度。有了这个信息，机构可以自动创建一个关于补丁的时间表，根据其严重性和优先级来快速响应威胁，而无需人工进行干预。

所有东西都与安全成熟度有关

EDR在支持安全的企业文化中工作效率最高，比如企业会采取正规的形式部署安全策略和进行培训。因此，想要最大限度利用EDR系统的机构应当谨记安全是一个过程，并提升自身的安全成熟度。这意味着企业必须不断进行安全意识培训，制定安全策略，并创建安全流程。

机构还应当确保EDR解决方案被配置成能够与其它安全基础设施相互整合的模式。通过这一步骤，他们能够让互相割裂的安全系统相互整合，找到威胁。

EDR的生命周期永不终结

成百上千乃至数百万的新的数字威胁每天都在诞生。知道了这一点，机构应当对新威胁的迹象随时保持警惕，使用对旧威胁的响应方式创建新的预防措施，不断检测新的终端与配置上的变化，并努力减少检测、响应和预防之间的差距。