EDR (Endpoint Detection and Response)
O que é EDR (Endpoint Detection and Response)?
EDR (Endpoint Detection and Response)Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
O EDR (Endpoint Detection and Response) instala um agente em modo kernel ou utilizador em portáteis, servidores e máquinas virtuais que envia telemetria rica — árvores de processos, linhas de comando, escritas de ficheiro, alterações de registo, conexões de rede, conteúdo de scripts — para um back-end analítico na nuvem. Regras comportamentais, ML e correspondência com threat intelligence geram alertas que os analistas podem explorar através da genealogia de processos, executando ações de resposta (isolamento de host, quarentena de ficheiros, shell remota, rollback) a partir da mesma consola. O EDR é a base do XDR e dos fluxos modernos de resposta a incidentes. Produtos comuns: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne e Carbon Black.
● Exemplos
- 01
CrowdStrike Falcon alerta um processo-filho suspeito do MSHTA seguido de conexões a um C2 conhecido.
- 02
Microsoft Defender for Endpoint isola um host após detetar dumping de credenciais com mimikatz.
● Perguntas frequentes
O que é EDR (Endpoint Detection and Response)?
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts. Pertence à categoria Defesa e operações da cibersegurança.
O que significa EDR (Endpoint Detection and Response)?
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
Como se defender contra EDR (Endpoint Detection and Response)?
As defesas contra EDR (Endpoint Detection and Response) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.