EDR (Detección y Respuesta en Endpoints)

Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.

EDR (Endpoint Detection and Response) despliega un agente en modo kernel o usuario en portátiles, servidores y máquinas virtuales que envía telemetría rica —árboles de procesos, líneas de comando, escrituras de fichero, cambios de registro, conexiones de red, contenido de scripts— a un back end analítico en la nube. Reglas conductuales, ML y comparación con threat intelligence generan alertas que los analistas pueden investigar con la genealogía completa de procesos, y las acciones de respuesta (aislar host, poner ficheros en cuarentena, shell remoto, rollback) se ejecutan desde la misma consola. EDR es la base de XDR y de los flujos modernos de respuesta a incidentes. Productos habituales: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne y Carbon Black.

Ejemplos

CrowdStrike Falcon alerta de un proceso hijo sospechoso de MSHTA seguido de conexiones a un C2 conocido.
Microsoft Defender for Endpoint aísla un host tras detectar volcado de credenciales con mimikatz.

EDR (Detección y Respuesta en Endpoints)

Ejemplos

Términos relacionados

EPP (Plataforma de Protección de Endpoints)

XDR (Detección y Respuesta Extendidas)

NDR (Detección y Respuesta de Red)

SIEM

Indicator of Compromise (IoC)

Threat Hunting

Definición

Ejemplos

Términos relacionados

EPP (Plataforma de Protección de Endpoints)

XDR (Detección y Respuesta Extendidas)

NDR (Detección y Respuesta de Red)

SIEM

Indicator of Compromise (IoC)

Threat Hunting