EDR (Endpoint Detection and Response)

Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.

L'EDR (Endpoint Detection and Response) déploie un agent en mode noyau ou utilisateur sur les postes, serveurs et machines virtuelles afin de remonter une télémétrie riche — arbres de processus, lignes de commande, écritures de fichiers, changements de registre, connexions réseau, contenu de scripts — vers un back-end d'analytique cloud. Des règles comportementales, du machine learning et des correspondances avec la threat intelligence produisent des alertes que l'analyste peut explorer via la généalogie complète des processus, et les actions de réponse (isolation d'hôte, mise en quarantaine de fichiers, shell distant, rollback) sont exécutées depuis la même console. L'EDR est la fondation du XDR et des flux modernes de réponse aux incidents. Produits courants : CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Carbon Black.

Exemples

CrowdStrike Falcon alerte sur un processus enfant suspect de MSHTA suivi de connexions vers un C2 connu.
Microsoft Defender for Endpoint isole un hôte après détection d'un vol d'identifiants avec mimikatz.

EDR (Endpoint Detection and Response)

Exemples

Termes liés

EPP (Endpoint Protection Platform)

XDR (Extended Detection and Response)

NDR (Network Detection and Response)

SIEM

Indicator of Compromise (IoC)

Threat Hunting

Définition

Exemples

Termes liés

EPP (Endpoint Protection Platform)

XDR (Extended Detection and Response)

NDR (Network Detection and Response)

SIEM

Indicator of Compromise (IoC)

Threat Hunting