EDR (Detección y Respuesta en Endpoints)
¿Qué es EDR (Detección y Respuesta en Endpoints)?
EDR (Detección y Respuesta en Endpoints)Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
EDR (Endpoint Detection and Response) despliega un agente en modo kernel o usuario en portátiles, servidores y máquinas virtuales que envía telemetría rica —árboles de procesos, líneas de comando, escrituras de fichero, cambios de registro, conexiones de red, contenido de scripts— a un back end analítico en la nube. Reglas conductuales, ML y comparación con threat intelligence generan alertas que los analistas pueden investigar con la genealogía completa de procesos, y las acciones de respuesta (aislar host, poner ficheros en cuarentena, shell remoto, rollback) se ejecutan desde la misma consola. EDR es la base de XDR y de los flujos modernos de respuesta a incidentes. Productos habituales: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne y Carbon Black.
● Ejemplos
- 01
CrowdStrike Falcon alerta de un proceso hijo sospechoso de MSHTA seguido de conexiones a un C2 conocido.
- 02
Microsoft Defender for Endpoint aísla un host tras detectar volcado de credenciales con mimikatz.
● Preguntas frecuentes
¿Qué es EDR (Detección y Respuesta en Endpoints)?
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa EDR (Detección y Respuesta en Endpoints)?
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
¿Cómo defenderse de EDR (Detección y Respuesta en Endpoints)?
Las defensas contra EDR (Detección y Respuesta en Endpoints) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.