Trace Id is missing
Põhisisu juurde
Microsofti turbeteenus

Mis on lõpp-punkti ohutuvastus ja -kõrvaldus (EDR)?

Uurige, kuidas aitab EDR-i tehnoloogia organisatsioonidel tagada kaitse tõsiste küberohtude (nt lunavara) eest.

Microsoft Defender for Endpointi tutvustus

EDR-i määratlus

EDR on küberturbetehnoloogia, mis jälgib lõpp-punkte pidevalt ohumärkide suhtes ja teeb ohtude vähendamiseks automaatseid toiminguid. Lõpp-punktid ehk mitmesugused võrguga ühendatud füüsilised seadmed, nagu mobiiltelefonid, lauaarvutid, sülearvutid, virtuaalarvutid ja asjade Interneti (IoT) tehnoloogia, annavad pahategijatele organisatsiooni ründamiseks mitu sisenemispunkti. EDR-i lahendused aitavad turbeanalüütikutel tuvastada ja kahjutustada lõpp-punktides esinevaid ohte, enne kui need kogu teie võrku mõjutavad.

EDR-i turbelahendused logivad lõpp-punktide käitumist ööpäevaringselt. Lahendused analüüsivad neid andmeid pidevalt, et paljastada kahtlane tegevus, mis võib viidata ohtudele (nt lunavara). EDR saab teha ka automaatseid toiminguid ohtude piiramiseks ja turbespetsialistide teavitamiseks, kes seejärel kasutavad salvestatud andmeid, et uurida täpselt, kuidas rikkumine toimus, mida see on mõjutanud ja kuidas edasi tegutseda.

EDR-i roll küberturbes

Organisatsioonide puhul, kelle jaoks on küberrünnete ärahoidmine oluline, tähendab EDR viirusetõrjetehnoloogia täiustamist. Viirusetõrjeprogramm on loodud takistama pahategijatel süsteemi sisenemast, otsides andmebaasist teadaolevaid ohte ja tehes ohu tuvastamise korral automaatseid karantiinitoiminguid. Lõpp-punktide kaitseplatvormid (EPP-d) on esimene kaitseliin, mis hõlmab täiustatud viirusetõrjetarkvara ja ründevaratõrjet, ning EDR pakub turbemurde korral tuvastamise ja kahjutustamise abil täiendavat kaitset.

EDR suudab jahtida seni tundmatuid ohte, mis turbeperimeetrist läbi pääsevad, tuvastades ja analüüsides kahtlast käitumist, mida muidu nimetatakse turberikketunnusteks (IOC-d).

EDR tagab turbemeeskondadele ülevaate ja automatiseerimise, mida nad vajavad intsidentidele reageerimise kiirendamiseks ja lõpp-punktide rünnete leviku takistamiseks. Nende abil saab:

  • jälgida lõpp-punkte ja pidada tegevuse kohta põhjalikku registrit, et kahtlased tegevused reaalajas tuvastada;
  • analüüsida andmeid, et teha kindlaks, kas ohud annavad aluse uurimiseks ja kahjutustamiseks;
  • genereerida turbemeeskonnale prioriteetseid teateid, et oleks selge, millega tuleb esmalt tegeleda;
  • anda ülevaate turbemurde täielikust ajaloost ja ulatusest ning esitada selle kohta konteksti, et turbemeeskondade uurimistele kaasa aidata;
  • ohte enne nende levikut automaatselt ohjeldada või kahjutustada.

Kuidas EDR töötab?

Kuigi EDR-i tehnoloogia võib iga tarnija puhul erineda, toimib see üldjoontes samamoodi. EDR-i lahendus teeb järgmist.

  1. Jälgib pidevalt lõpp-punkte. Kui teie seadmed on kasutusele võetud, installib EDR-i lahendus igasse seadmesse tarkvaraagendi, mis tagab turbemeeskondadele ülevaate kogu digitaalsest ökosüsteemist. Seadmeid, kuhu on installitud agent, nimetatakse hallatavateks seadmeteks. See tarkvaraagent logib pidevalt igas hallatavas seadmes asjakohast tegevust.
  2. Koondab telemeetriaandmed. Igast seadmest sisse toodud andmed saadetakse agendi kaudu tagasi EDR-i lahendusse, mis võib olla pilves või kohapeal. Sündmuselogid, autentimiskatsed, rakenduste kasutamine ja muu teave muudetakse turbemeeskondadele reaalajas nähtavaks.
  3. Analüüsib ja seostab andmeid. EDR-i lahendus tuvastab turberikketunnused, mis võivad muidu hõlpsalt märkamata jääda. EDR-id kasutavad tavaliselt globaalsel küberohuteabel põhineva käitumisanalüüsi rakendamiseks tehisintellekti ja masinõpet, et aidata teie meeskonnal tõrjuda teie organisatsiooni vastu suunatud täiustatud ründetaktikaid.
  4. Toob esile kahtlustatud ohud ja teeb automaatseid kahjutustamistoiminguid. EDR-i lahendus märgistab võimaliku ründe ja saadab teie turbemeeskonnale toimingulinkidega teate, et nad saaksid kiiresti reageerida. Olenevalt päästikprotsessist võib EDR-i süsteem ka lõpp-punkti isoleerida või muul viisil ohtu ohjeldada, et see intsidendi uurimise ajal leviks.
  5. Talletab andmeid edaspidiseks kasutamiseks. EDR-i tehnoloogia talletab varasemate sündmuste kohta digitõendusandmeid, mida saab tulevaste uurimiste käigus kasutada. Turbeanalüütikud saavad seda kasutada sündmuste koondamiseks või pikema aja jooksul toimuvast või eelnevalt tuvastamata ründest tervikpildi saamiseks.

Peamised EDR-i võimalused ja funktsioonid

Põhjalik EDR-i lahendus võib anda teie turbemeeskonnale mitmesuguseid eeliseid, mis võimaldavad neil tööandmeid tõhusamalt kaitsta. See võimaldab neil teha järgmist.

  • Pimealade kõrvaldamine

    EDR pakub turbemeeskondadele olemasolevate lõpp-punktide puhul ühtset ülevaadet ja haldamist ning võimaldab tuvastada teie võrguga ühendatud mittehallatavaid lõpp-punkte, millega võivad kaasneda soovimatud levinud nõrkused ja riskikohad (CVE-d). Samuti saavad nad seda kasutada ründepindade vähendamiseks, märgistades nõrkused ja väärkonfiguratsioonid.

  • Järgmise põlvkonna uurimistööriistade kasutamine

    EDR-i lahendused töötavad koos teie turbemeeskonnaga, et prioriseerida kõige tõsisemad võimalikud ohud, need valideerida ja teha triaažitoiminguid vaid minutitega.

     

  • Kõige keerukamate rünnete blokeerimine

    EDR-i lahendused aitavad turbemeeskondadel leida keerukaid ohte, nagu lunavara, mis tuvastamise vältimiseks pidevalt oma käitumist muudab. See on tõhus nii failipõhiste kui ka failideta rünnete vastu.

  • Ohtude kiirem kahjutustamine

    Turbemeeskonnad saavad vähendada ohtudele reageerimiseks kuluvat aega EDR-i tööriistade abil, mis ohjeldavad automaatselt ründe, algatavad uurimisi ning kasutavad küberturbe tehisintellekti , et rakendada head tavad ja määratleda järgmised toimingud.

  • Ennetav ohtude jahtimine

    EDR-i lahendused kasutavad rikkalikku käitumisanalüüsi, et pakkuda süvaohtude jälgimist, mis aitab meeskondadel juba esimese kahtlase käitumise korral ründeid tuvastada.

  • Tuvastamise ja reageerimise integreerimine SIEM-iga

    Paljud EDR-i turbelahendused integreeritakse sujuvalt olemasolevate turbeteabe ja -sündmuste halduse (SIEM) toodete ja muude tööriistadega teie turbemeeskondade virnas.

Miks on EDR oluline?

EDR-i turbelahendused pakuvad moodsatele organisatsioonidele olulist kaitset. Ainult viirusetõrje- ja ründevaratõrjelahendused ei suuda takistada kõiki ründeid, mis tõenäoliselt teie võrgule suunatud on. Küberkurjategijad arendavad pidevalt perimeeterkaitsest läbitungimise taktikaid ja paratamatult pääsevad mõned neist sellest läbi. Turbemeeskonnad vajavad töökindlaid tööriistu, et jahtida neid väheseid ohte, mis võivad perimeetrist läbi tungida ning põhjustada tõsist kahju ja andmekadu.

Sellised ohud nagu hajusa teenusetõkestuse (DDoS) ründed, andmepüük ja lunavara võivad olla organisatsiooni tegevuse jaoks katastroofilised ning nõuda kahjutustamiseks väga suuri kulutusi. Küberkurjategijate ressursid ja motivatsioon aina kasvavad. Süsteemidesse sissetungimine on nende jaoks tulus ettevõtmine ja nad investeerivad täiustatud tehnoloogiasse, et muuta oma ründed veelgi edukamaks. Arvestades küberohutaktikate arengukiirust, on organisatsioonidel rahaliselt kasulik muuta oma turbeseisund ennetavaks ja investeerida tehnoloogiasse, mis suudab uusimate ohtude eest kaitset pakkuda.

EDR on muutunud eriti oluliseks, kuna üha rohkem organisatsioone kasutavad kaug- ja hübriidtöömustreid. Kui töötajad loovad ühenduse geograafiliselt hajutatud sülearvutite, arvutite ja mobiiltelefonide võrkudega, peavad turbemeeskonnad kaitsma suuremaid ründepindu. EDR-i lahendused võimaldavad neil lõpp-punktide andmeid reaalajas jälgida ja analüüsida.

EDR-i mõju intsidentidele reageerimisele

EDR-i turbelahendused aitavad teie meeskonnal suurendada tõhusust nende intsidentidele reageerimise plaani igas etapis. Lisaks sellele, et meeskonnad saavad tuvastada ohte, mis muidu jääksid märkamata, võivad nad arvestada, et EDR-i funktsioonid vähendavad käsitsi tehtavaid tüütuid ülesandeid, mis on seotud intsidentidele reageerimise elutsükli hilisemate etappidega.

Ohjeldamine, likvideerimine ja taastamine. Reaalajas nähtavuse ja automatiseerimise EDR-i lahendused aitavad teie meeskonnal nakatunud lõpp-punkte kiiresti isoleerida, blokeerida pahatahtlikele IP-aadressidele suunatud ja nendelt pärinevat liiklust ning hakata ohu vähendamiseks tegema järgmisi toiminguid. Pildid, mille EDR-i tööriistad lõpp-punktidest pidevalt jäädvustavad, hõlbustavad vajaduse korral eelmisele nakatumata olekule tagasi pööramist.

Sündmusejärgne analüüs. Digitõendusandmed, mida EDR lõpp-punkti tegevuste, võrguühenduste, kasutajatoimingute ja failimuudatuste kohta esitab, aitavad teie analüütikutel teha juurpõhjuse analüüsi ja tuvastada sündmuse päritolu. Samuti kiirendab see nende analüüsi- ja aruandlusprotsessi selle kohta, mis toimis hästi ja mis mitte, et järgmiseks korraks paremini valmis olla.

EDR ja ohujaht

Ennetav küberohujaht on turbeharjutus, mida analüütikud oma võrkudest tundmatute ohtude otsimiseks teevad. EDR-i lahendused toetavad seda, esitades digitõendusandmeid, mis aitavad teie analüütikutel otsustada, milliseid turberikketunnuseid sihtida (nt teatud failid, konfiguratsioonid või kahtlased käitumised). Küberohumaastikul, kus pahategijad sageli keskkonnas mitmeid kuid märkamatult ringi luusivad, on ohujaht kasulik viis turbeseisundi tugevdamiseks ja vastavusnõuete täitmiseks.

Mõned EDR-i lahendused võimaldavad teie analüütikutel luua sihitud ohutuvastuse jaoks kohandatud reegleid. Nende reeglite abil saate ennetavalt jälgida mitmesuguseid sündmusi ja süsteemiolekuid, sealhulgas kahtlustatud turbemurde tegevust ja valesti konfigureeritud lõpp-punkte. Need saab määrata käivituma regulaarsete intervallidega ning vastete korral teateid genereerima ja reageerimistoiminguid tegema.

Kaasake EDR oma turbestrateegiasse

Kui kaalute oma kaitselahendustele EDR-i turbefunktsioonide lisamist, on oluline valida lahendus, mille saab sujuvalt teie olemasolevate tööriistadega integreerida ja mis lihtsustab turbevirna, mitte ei muuda seda keerukamaks. Samuti on oluline valida EDR-i lahendus, mis kasutab täiustatud tehisintellekti, et see saaks õppida varasematest intsidentidest ja tegeleda automaatselt sarnastega, et vähendada teie meeskonna töökoormust.

Microsoft Defender for Endpoint võimaldab teie turbemeeskonnal tõhusamalt tegutseda ja ründajad üle kavaldada. Defender for Endpoint aitab teil arendada turbestrateegiat, et kaitsta oma mitme platvormiga suurettevõtet keerukate ohtude eest.

Lisateave Microsofti turbeteenuste kohta

Microsoft Defender XDR

Hankige intsidenditasemel ülevaade tapuahelast, keerukate rünnete automaatne katkestamine ja kiirem reageerimine.

Lisateave

Microsoft Defenderi nõrkusehaldus

Sulgege turbeaugud ja vähendage riski pideva nõrkuste hindamise ja kahjutustamise abil.

Lisateave

Microsoft Defender for Business

Kaitske oma väikest või keskmise suurusega ettevõtet uusimate ohtude eest, mis hiilivad tavapärastest viirusetõrjelahendustest mööda.

Lisateave

Integreeritud ohutõrje

Kaitske XDR-i ja SIEM-i ühtse lahenduse abil oma mitmikpilve digivara rünnete eest.

Lisateave

Microsoft Defender for IoT

Hankige reaalajas varade tuvastamine, hallake nõrkusi ning kaitske oma asjade Internetti (IoT) ja tööstustaristut ohtude eest.

Lisateave

Korduma kippuvad küsimused

  • EDR pole lihtsalt viirusetõrjetehnoloogia. Viirusetõrjeprogramm on loodud takistama pahategijatel süsteemi sisenemast, otsides andmebaasist teadaolevaid ohte ja tehes ohu tuvastamise korral automaatseid karantiinitoiminguid. EDR pakub veelgi tugevamat kaitset, kuna see võimaldab kahtlast käitumist analüüsides jahtida seni tundmatuid ohte.

  • EDR tähendab lõpp-punkti ohutuvastust ja -kõrvaldust ning ärivaldkonnas on see oluline tööriist tagamaks, et küberkurjategijad ei saa kasutada töötajate süle- ja lauaarvuteid ning mobiilsideseadmeid tööandmetele ja taristule juurdepääsuks. EDR annab turbemeeskondadele ülevaate kõigist võrguga ühendatud lõpp-punktidest ning pakub töökindlaid tööriistu, mis aitavad neil ohusignaale analüüsida ja ohte tuvastada.

  • EDR jälgib pidevalt võrguga ühendatud lõpp-punkte ja salvestab käitumist, et turbemeeskonnad saaksid organisatsiooni ohtude eest tõhusamalt kaitsta. EDR koondab keskselt telemeetriaandmed ning analüüsib ja seostab neid võimalike ohtudega. See teeb vajaduse korral ka automaatseid kahjutustamistoiminguid ja esitab uurimiste kiirendamiseks rünnete kohta digitõendusandmed.

  • Microsoft Defender for Endpoint on ettevõtte EDR, mille eesmärk on aidata organisatsioonidel keerukaid ohte ennetada, tuvastada, uurida ja neile reageerida. Selle saab integreerida paljude muude Microsofti lahendustega, et pakkuda terviklikku oma klassi parimat turvet.

  • XDR on EDR-i loomulik edasiarendus. XDR laiendab EDR-i ulatust, pakkudes optimeeritud tuvastamist ja reageerimist rohkemate toodete puhul, alates võrkudest ja serveritest kuni pilvepõhiste rakenduste ja lõpp-punktideni. XDR pakub paindlikkust ja integreerimist suurettevõtte mitmesuguste olemasolevate turbetööriistade ja -toodete vahel.

Jälgige Microsoft 365