Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Обнаружение и нейтрализация атак на конечные точки (EDR)

Архитектура EDR-решений

В общем случае система класса Endpoint Detection & Response состоит из агентов, устанавливаемых на конечные точки, и серверной части. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако.

Серверный компонент анализирует полученные данные при помощи технологий машинного обучения, сопоставляет их с базами индикаторов компрометации (IoC) и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности.

Возможности EDR-продуктов

Большинство современных EDR-решений могут:

  • Собирать данные с конечных точек в режиме реального времени.
  • Записывать и хранить информацию о действиях пользователей, сетевой активности и запущенных программах для последующего изучения и исследования.
  • Выявлять и классифицировать подозрительную активность, а также уведомлять службы безопасности о ней.
  • Предпринимать шаги по блокировке атаки — изолировать подозрительные файлы, останавливать вредоносные процессы, разрывать сетевые соединения.
  • Интегрироваться с защитными решениями для конечных точек, SIEM-системами и другими средствами защиты.