Глоссарий
Что такое EDR — запись «поведения» конечных точек для обнаружения и реагирования на проскользнувшие атаки
EDR (Endpoint Detection and Response) непрерывно записывает поведение устройства, обнаруживает подозрительную активность и помогает реагировать. По поведению он ловит то, что пропускает сигнатурный антивирус: бесфайловые и living-off-the-land атаки.
«У меня уже есть антивирус — зачем тогда EDR?» Они играют разные роли. Разберём, что защищает EDR и как (без шагов атаки).
Чем он отличается от традиционного антивируса
| Аспект | Традиционный антивирус | EDR |
|---|---|---|
| Основа обнаружения | Известные сигнатуры / IOC (хеши) | Поведение / IOA (цепочка активности) |
| Устойчивость к проскальзыванию | Слабо против бесфайловых / злоупотребления инструментами | Легче поймать по поведению |
| Расследование постфактум | Ограниченное | Временная шкала для прослеживания произошедшего |
| Реагирование | В основном удаление | Поддерживает изолировать, расследовать, восстановить |
Как он защищает (механизм)
Сигнатурное сопоставление (блокировать известное вредоносное) и обнаружение по поведению (замечать через IOA) не противопоставлены. Реалистично иметь и то, и другое; EDR углубляет второе.
Реалистичный взгляд для небольшой команды
Сначала укрепите фундамент
Используйте встроенную защиту ОС
Сохраняйте журналы и держите взгляд IOA
Рассмотрите EDR по мере роста
Мнение этого сайта: состояние «записывать/обнаруживать/реагировать», а не название продукта
EDR мощный, но на этом сайте мы не считаем «у нас есть EDR» равным «мы в безопасности». Обнаружение касается того, что после начала инцидента; настоящая цель — проектирование, которое не даёт ему начаться или распространиться (минимум привилегий, обновления, MFA, никаких секретов в открытом виде). Поверх этого, поскольку часть атак всегда проскальзывает, держите состояние, в котором вы можете записывать, обнаруживать и реагировать на поведение, по размеру вашего масштаба. Для частных лиц «Defender + журналы + мышление IOA» часто достаточно; для организаций управляемый EDR — вариант. Важно не название продукта — важно, крутятся ли и профилактика (не-случается), и обнаружение (замечание).
Читать дальше
FAQ
QЧем EDR отличается от традиционного антивируса?
Традиционный антивирус в основном сопоставляет «известные вредоносные файлы» (сигнатуры/хеши) и блокирует их. EDR добавляет непрерывную запись поведения на устройстве (запуски процессов, сеть, файловые операции), обнаруживает подозрительную цепочку активности и поддерживает реагирование — изолировать, расследовать, восстановить. Проще: AV блокирует известное вредоносное; EDR замечает по поведению и помогает реагировать.
QЗачем нужно обнаружение на основе поведения?
Злоумышленники меняют хеши файлов и злоупотребляют легитимными инструментами ОС (бесфайловые атаки), чтобы проскользнуть мимо сигнатурного сопоставления. Такие атаки почти не выглядят как «плохой файл» — они проявляются только как «странная цепочка поведения». Поэтому EDR, который следит за поведением (IOA), играет роль ловца того, что проскользнуло.
QНужен ли EDR частным лицам или небольшим командам?
Полноценный EDR в основном для организаций и часто избыточен для частных лиц/небольших команд. Но идея полезна. Microsoft Defender в Windows включает лёгкое обнаружение по поведению, и сочетание прочного фундамента (автообновления, минимум привилегий, сохраняемые журналы) с мышлением IOA (замечать по поведению) даёт большую часть пользы. Состояние — способны ли вы записывать, обнаруживать и реагировать на поведение — важнее названия продукта.