Glossário
O que é EDR — registrar o 'comportamento' dos endpoints para detectar e responder a ataques que escapam
O EDR (Endpoint Detection and Response) registra o comportamento do endpoint, detecta atividade suspeita e apoia a resposta. Captura ataques sem arquivo e living-off-the-land que o antivírus por assinaturas perde. Em que difere do antivírus.
"Já rodo antivírus — então por que EDR?" Eles cumprem papéis diferentes. Veja o que o EDR protege e como (sem passos de ataque).
Em que difere do antivírus tradicional
| Aspecto | Antivírus tradicional | EDR |
|---|---|---|
| Base de detecção | Assinaturas conhecidas / IOCs (hashes) | Comportamento / IOAs (uma cadeia de atividade) |
| Resistência a escapes | Fraco contra sem arquivo / abuso de ferramentas | Mais fácil de capturar por comportamento |
| Investigação a posteriori | Limitada | Uma linha do tempo para rastrear o que aconteceu |
| Resposta | Em geral remoção | Apoia isolar, investigar, recuperar |
Como ele protege (o mecanismo)
A comparação de assinaturas (bloquear o sabidamente malicioso) e a detecção comportamental (perceber via IOAs) não são opostas. Ter ambas é realista; o EDR aprofunda a segunda.
Uma abordagem realista para times pequenos
Reforce a base primeiro
Use a proteção embutida no SO
Preserve logs e tenha um olho de IOA
Considere EDR conforme você cresce
A visão deste site: o estado de 'registrar/detectar/responder', não o nome do produto
O EDR é poderoso, mas neste site não tratamos "temos EDR" como "estamos seguros". A detecção é sobre depois que um incidente começa; o objetivo de verdade é um design que não deixa começar nem se espalhar (privilégio mínimo, correções, MFA, nenhum segredo em texto puro). Além disso, como alguns ataques sempre escapam, mantenha um estado em que você consiga registrar, detectar e responder a comportamento, dimensionado à sua escala. Para indivíduos, "Defender + logs + a mentalidade de IOA" muitas vezes basta; para organizações, um EDR gerenciado é uma opção. O que importa não é o nome do produto — é se a prevenção (não acontecer) e a detecção (perceber) estão ambas girando.
Leia a seguir
- Glossário: O que é um IOA (Indicator of Attack) · O que é um IOC · O que é ransomware
FAQ
QEm que o EDR difere do antivírus tradicional?
O antivírus tradicional basicamente compara 'arquivos sabidamente maliciosos' (assinaturas/hashes) e os bloqueia. O EDR adiciona o registro contínuo do comportamento no dispositivo (lançamentos de processos, rede, operações de arquivo), detecta uma cadeia suspeita de atividade e apoia a resposta — isolar, investigar, recuperar. Pense: o AV bloqueia o sabidamente malicioso; o EDR percebe por comportamento e ajuda você a responder.
QPor que a detecção baseada em comportamento é necessária?
Os atacantes trocam hashes de arquivo e abusam de ferramentas legítimas do SO (sem arquivo) para passar pela comparação de assinaturas. Esses ataques mal parecem um 'arquivo ruim' — eles aparecem apenas como 'uma cadeia estranha de comportamento'. Por isso o EDR, que observa o comportamento (IOAs), cumpre o papel de capturar o que escapou.
QIndivíduos ou times pequenos precisam de EDR?
Um EDR completo é principalmente para organizações e muitas vezes é exagero para indivíduos/times pequenos. Mas a ideia é útil. O Microsoft Defender do Windows inclui detecção comportamental leve, e combinar uma base sólida (atualizações automáticas, privilégio mínimo, logs preservados) com a mentalidade de IOA (perceber por comportamento) entrega boa parte do valor. O estado — você consegue registrar, detectar e responder a comportamento — importa mais do que o nome do produto.