EDR (Endpoint Detection and Response)

Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.

O EDR (Endpoint Detection and Response) instala um agente em modo kernel ou utilizador em portáteis, servidores e máquinas virtuais que envia telemetria rica — árvores de processos, linhas de comando, escritas de ficheiro, alterações de registo, conexões de rede, conteúdo de scripts — para um back-end analítico na nuvem. Regras comportamentais, ML e correspondência com threat intelligence geram alertas que os analistas podem explorar através da genealogia de processos, executando ações de resposta (isolamento de host, quarentena de ficheiros, shell remota, rollback) a partir da mesma consola. O EDR é a base do XDR e dos fluxos modernos de resposta a incidentes. Produtos comuns: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne e Carbon Black.

Exemplos

CrowdStrike Falcon alerta um processo-filho suspeito do MSHTA seguido de conexões a um C2 conhecido.
Microsoft Defender for Endpoint isola um host após detetar dumping de credenciais com mimikatz.

EDR (Endpoint Detection and Response)

Exemplos

Termos relacionados

EPP (Endpoint Protection Platform)

XDR (Extended Detection and Response)

NDR (Network Detection and Response)

SIEM

Indicator of Compromise (IoC)

Threat Hunting

Definição

Exemplos

Termos relacionados

EPP (Endpoint Protection Platform)

XDR (Extended Detection and Response)

NDR (Network Detection and Response)

SIEM

Indicator of Compromise (IoC)

Threat Hunting