Обнаружение и нейтрализация атак на конечные точки (EDR)
Архитектура EDR-решений
В общем случае система класса Endpoint Detection & Response состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако.
Серверный компонент анализирует полученные данные при помощи технологий машинного обучения, сопоставляет их с базами индикаторов компрометации (IoC) и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности.
Возможности EDR-продуктов
Большинство современных EDR-решений могут:
- Собирать данные с конечных точек в режиме реального времени.
- Записывать и хранить информацию о действиях пользователей, сетевой активности и запущенных программах для последующего изучения и исследования.
- Выявлять и классифицировать подозрительную активность, а также уведомлять службы безопасности о ней.
- Предпринимать шаги по блокировке атаки — изолировать подозрительные файлы, останавливать вредоносные процессы, разрывать сетевые соединения.
- Интегрироваться с защитными решениями для конечных точек, SIEM-системами и другими средствами защиты.