EDR (Endpoint Detection & Response), также называемое endpoint detection and threat response (EDTR), - это решение для обеспечения безопасности конечных точек, которое постоянно контролирует устройства конечных пользователей для обнаружения и реагирования на киберугрозы, такие как ransomware и вредоносное ПО.
EDR-инструменты применяются для детектирования целевых угроз и атак, при этом EDR не решает задачи, стоящие перед антивирусным программным обеспечением, а скорее дополняет его.
EDR записывают и хранят поведение конечных точек на уровне системы, используют различные методы анализа данных для обнаружения подозрительного поведения системы, предоставляют контекстную информацию, блокируют вредоносную активность и предоставляют предложения по устранению последствий для восстановления пострадавших систем. Решения EDR должны обеспечивать следующие четыре основные возможности:
- Обнаруживать инциденты безопасности
- Сдерживать инцидент на конечной точке
- Расследовать инциденты безопасности
- Предоставлять рекомендации по устранению последствий.
Решения безопасности EDR записывают действия и события, происходящие на конечных точках и всех рабочих нагрузках, обеспечивая командам безопасности видимость, необходимую для выявления инцидентов, которые в противном случае остались бы незамеченными. Решение EDR должно обеспечивать непрерывную и всестороннюю видимость того, что происходит на конечных точках в режиме реального времени.
Инструмент EDR должен предлагать расширенные возможности обнаружения, расследования и реагирования на угрозы, включая поиск данных об инцидентах и сортировку предупреждений, проверку подозрительной активности, поиск угроз, а также обнаружение и локализацию вредоносной активности.
Технология EDR обеспечивает комплексную видимость всех конечных точек и применяет поведенческую аналитику, которая анализирует миллиарды событий в режиме реального времени для автоматического обнаружения следов подозрительного поведения.
EDR действует как видеорегистратор на конечной точке, записывая соответствующую активность, чтобы выявить инциденты, которые не удалось предотвратить.
Это дает командам безопасности полезную информацию, которая им необходима, включая:
- локальные и внешние адреса, к которым подключен хост
- все учетные записи пользователей, которые вошли в систему, как напрямую, так и удаленно
- сводку изменений в ключах ASP, исполняемых файлах и использовании административных инструментов
- выполнение процессов
- сводная и подробная сетевая активность на уровне процессов, включая DNS-запросы, соединения и открытые порты
- создание архивных файлов, включая RAR и ZIPS
- использование съемных носителей.