EDR (обнаружение и реагирование на конечных точках)

Endpoint Detection and Response (EDR) разворачивает агент в режиме ядра или пользователя на ноутбуках, серверах и виртуальных машинах, который передаёт детальную телеметрию — деревья процессов, командные строки, операции с файлами, изменения реестра, сетевые подключения, содержимое скриптов — в облачный аналитический бэкенд. Поведенческие правила, машинное обучение и сопоставление с threat intelligence формируют оповещения, которые аналитик может разворачивать по полной цепочке процессов; действия по реагированию (изоляция хоста, карантин файла, удалённая оболочка, откат) выполняются из той же консоли. EDR — основа XDR и современных процессов реагирования на инциденты. Среди распространённых продуктов: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne и Carbon Black.