EDR (Endpoint Detection and Response)
Qu'est-ce que EDR (Endpoint Detection and Response) ?
EDR (Endpoint Detection and Response)Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
L'EDR (Endpoint Detection and Response) déploie un agent en mode noyau ou utilisateur sur les postes, serveurs et machines virtuelles afin de remonter une télémétrie riche — arbres de processus, lignes de commande, écritures de fichiers, changements de registre, connexions réseau, contenu de scripts — vers un back-end d'analytique cloud. Des règles comportementales, du machine learning et des correspondances avec la threat intelligence produisent des alertes que l'analyste peut explorer via la généalogie complète des processus, et les actions de réponse (isolation d'hôte, mise en quarantaine de fichiers, shell distant, rollback) sont exécutées depuis la même console. L'EDR est la fondation du XDR et des flux modernes de réponse aux incidents. Produits courants : CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Carbon Black.
● Exemples
- 01
CrowdStrike Falcon alerte sur un processus enfant suspect de MSHTA suivi de connexions vers un C2 connu.
- 02
Microsoft Defender for Endpoint isole un hôte après détection d'un vol d'identifiants avec mimikatz.
● Questions fréquentes
Qu'est-ce que EDR (Endpoint Detection and Response) ?
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie EDR (Endpoint Detection and Response) ?
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
Comment se défendre contre EDR (Endpoint Detection and Response) ?
Les défenses contre EDR (Endpoint Detection and Response) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.