EDR (обнаружение и реагирование на конечных точках)
Что такое EDR (обнаружение и реагирование на конечных точках)?
EDR (обнаружение и реагирование на конечных точках)Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
Endpoint Detection and Response (EDR) разворачивает агент в режиме ядра или пользователя на ноутбуках, серверах и виртуальных машинах, который передаёт детальную телеметрию — деревья процессов, командные строки, операции с файлами, изменения реестра, сетевые подключения, содержимое скриптов — в облачный аналитический бэкенд. Поведенческие правила, машинное обучение и сопоставление с threat intelligence формируют оповещения, которые аналитик может разворачивать по полной цепочке процессов; действия по реагированию (изоляция хоста, карантин файла, удалённая оболочка, откат) выполняются из той же консоли. EDR — основа XDR и современных процессов реагирования на инциденты. Среди распространённых продуктов: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne и Carbon Black.
● Примеры
- 01
CrowdStrike Falcon оповещает о подозрительном дочернем процессе MSHTA с последующими подключениями к известному C2.
- 02
Microsoft Defender for Endpoint изолирует хост после обнаружения извлечения учётных данных с помощью mimikatz.
● Частые вопросы
Что такое EDR (обнаружение и реагирование на конечных точках)?
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах. Относится к категории Защита и операции в кибербезопасности.
Что означает EDR (обнаружение и реагирование на конечных точках)?
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
Как защититься от EDR (обнаружение и реагирование на конечных точках)?
Защита от EDR (обнаружение и реагирование на конечных точках) обычно сочетает технические меры и операционные практики, как описано в определении выше.