Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mitä päätepisteen tunnistus ja käsittely (EDR) tarkoittaa?

Tutustu siihen, miten EDR-tekniikka auttaa organisaatioita suojautumaan vakavilta kyberuhilta, kuten kiristysohjelmilta.

EDR:n määritelmä

EDR on kyberturvallisuusteknologia, joka valvoo päätepisteitä jatkuvasti uhkien varalta ja suorittaa automaattisia toimia niiden lieventämiseksi. Päätepisteet – monet verkkoon yhdistetyt laitteet, kuten matkapuhelimet, pöytätietokoneet, kannettavat tietokoneet, näennäiskoneet ja esineiden Internet (IoT) -teknologiat – antavat haitallisille toimijoille useita tunkeutumismahdollisuuksia organisaatioon kohdistuvaa hyökkäystä varten. EDR-ratkaisut auttavat tietoturva-analyytikoita havaitsemaan ja korjaamaan päätepisteissä olevia uhkia, ennen kuin ne voivat levitä koko verkkoon.

EDR-tietoturvaratkaisut kirjaavat päätepisteiden toimintoja kellon ympäri. Ne analysoivat näitä tietoja jatkuvasti paljastaakseen epäilyttävää toimintaa, joka voi kertoa uhista, kuten kiristysohjelmista. Se voi myös suorittaa automaattisia toimintoja eristääkseen uhkia ja hälyttääkseen tietoturva-ammattilaiset, jotka sitten käyttävät tallennettuja tietoja tutkiakseen tarkasti, miten rikkomus tapahtui, mihin se on vaikuttanut ja mitä on tehtävä seuraavaksi.

EDR:n rooli kyberturvallisuudessa

Organisaatioille, jotka haluavat pysyä turvassa kyberhyökkäyksiltä, EDR on virustentorjuntateknologian paranneltu ratkaisu. Virustentorjuntaohjelma on suunniteltu estämään haitallisia toimijoita siirtymästä järjestelmään tarkistamalla tunnetut uhat tietokannasta ja suorittamalla automaattiset karanteenitoimet, jos se havaitsee jonkin tunnetun uhan. Päätepisteiden suojausympäristöt (EPP) ovat ensimmäinen puolustuslinja, johon kuuluu kehittynyt virusten ja haittaohjelmien torjunta. EDR tarjoaa lisäsuojausta rikkomuksen tapahtuessa ottamalla käyttöön havaitsemis- ja korjaustoiminnot.

EDR:llä on kyky etsiä vielä tuntemattomia uhkia eli niitä, jotka läpäisevät suojauksen, havaitsemalla ja analysoimalla epäilyttäviä toimintoja, joita kutsutaan myös vaarantumisen merkeiksi.

EDR tarjoaa tietoturvatiimeille näkyvyyden ja automaation, joita ne tarvitsevat nopeuttaakseen tapausten käsittelyä ja estääkseen päätepisteisiin kohdistuvien hyökkäysten leviämisen. Ne ovat tottuneet:

  • Valvomaan päätepisteitä ja pitämään kattavaa rekisteriä toiminnasta havaitakseen epäilyttävää toimintaa reaaliajassa.
  • Analysoimaan nämä tiedot selvittääkseen, edellyttävätkö uhat tutkintaa ja korjaustoimia.
  • Luomaan priorisoituja ilmoituksia tietoturvatiimille, jotta se tietää, mihin on reagoitava ensin.
  • Tarjoamaan näkyvyyttä ja taustoja rikkomuksen koko historiaan ja laajuuteen auttaakseen tietoturvatiimejä tutkinnassa.
  • Eristämään ja korjaamaan uhan automaattisesti, ennen kuin se ehtii levitä.

Miten EDR toimii?

Vaikka EDR-teknologia voi vaihdella kunkin toimittajan kohdalla, ne toimivat suunnilleen samalla tavalla. EDR-ratkaisu:

  1. Valvoo päätepisteitä jatkuvasti. Kun laitteet on otettu käyttöön, EDR-ratkaisu asentaa niihin ohjelmistoagentin, jotta koko digitaalinen ekosysteemi on tietoturvatiimin nähtävissä. Laitteita, joihin agentti on asennettu, kutsutaan hallituiksi laitteiksi. Tämä ohjelmistoagentti kirjaa jatkuvasti jokaisen hallitun laitteen toimintoja.
  2. Koostaa telemetriatietoja. Kustakin laitteesta vastaanotetut tiedot lähetetään agentilta takaisin EDR-ratkaisuun, joka voi sijaita pilvessä tai paikan päällä. Tapahtumalokit, todennusyritykset, sovelluksen käyttö ja muut tiedot näkyvät tietoturvatiimeille reaaliajassa.
  3. Analysoi ja korreloi tietoja. EDR-ratkaisu paljastaa vaarantumisindikaattorit (IOC:t), jotka olisi muuten helppo ohittaa. EDR:t käyttävät yleensä tekoälyä ja koneoppimista soveltaakseen maailmanlaajuisiin uhkatietoihin perustuvaa käyttäytymisanalytiikkaa, jotta tiimisi voi suojautua kehittyneiltä taktiikoilta, joita käytetään organisaatiotasi vastaan.
  4. Paljastaa epäillyt uhat ja suorittaa automaattisia korjaustoimia. EDR-ratkaisu merkitsee mahdollisen hyökkäyksen ja lähettää toiminnallisen ilmoituksen tietoturvatiimillesi, jotta se voi reagoida nopeasti. Käynnistävä tapahtumasta riippuen EDR-järjestelmä voi myös eristää päätepisteen tai eristää uhan muulla tavalla, jotta se ei leviä tapauksen tutkimisen aikana.
  5. Tallentaa tiedot tulevaa käyttöä varten. EDR-tekniikka pitää kirjaa aiemmista tapahtumista informoidakseen tulevia tutkimuksia. Tietoturva-analyytikot voivat tämän avulla yhdistää tapahtumia tai saada kokonaiskuvan pitkittyneestä tai aiemmin havaitsemattomasta hyökkäyksestä.

Tärkeimmät EDR:n toiminnot ja ominaisuudet

Kattava EDR-ratkaisu voi antaa tietoturvatiimillesi erityisiä etuja, joiden avulla he pystyvät suojaamaan työtietoja entistä tehokkaammin. Sen avulla he voivat:
  • Poistaa sokeita kohtia

    EDR:n avulla tietoturvatiimit voivat saada yhtenäisen näkyvyyden ja hallinnan olemassa oleviin päätepisteisiin ja löytää verkkoon yhdistettyjä hallitsemattomia päätepisteitä, jotka saattavat aiheuttaa Common Vulnerabilities and Exposures (CVE) -haavoittuvuuksia. He voivat myös käyttää sitä vähentääkseen hyökkäysmahdollisuuksia merkitsemällä haavoittuvuuksia ja virheellisiä määrityksiä.

  • Käyttää seuraavan sukupolven tutkintatyökaluja

    EDR-ratkaisut toimivat yhdessä tietoturvatiimisi kanssa priorisoidakseen vakavimmat mahdolliset uhat, vahvistaakseen ne ja luokitellakseen ne muutamassa minuutissa.

     

  • Estää kaikista kehittyneimpiä hyökkäyksiä

    EDR-ratkaisut auttavat tietoturvatiimejä löytämään kehittyneitä uhkia, kuten kiristysohjelmia, jotka muuttavat jatkuvasti toimintaansa tunnistuksen välttämiseksi. Se on tehokas sekä tiedostopohjaisia että tiedostottomia hyökkäyksiä vastaan.

  • Korjata uhat nopeammin

    Tietoturvatiimit voivat lyhentää uhkiin vastaamiseen kuluvaa aikaa EDR-työkaluilla, jotka eristävät hyökkäyksen automaattisesti, aloittavat tutkinnan ja käyttävät kyberturvallisuuden tekoälyä  soveltaakseen parhaita käytäntöjä ja päättääkseen seuraavista vaiheista.

  • Etsiä uhkia ennakoivasti

    EDR-ratkaisut käyttävät monipuolista käyttäytymisanalytiikkaa tarjotakseen kattavan uhkien seurannan ja auttaakseen tiimejä suojautumaan hyökkäyksiltä heti, kun he saavat vihjeen epäilyttävästä toiminnasta.

  • Yhdistää havaitsemisen ja reagoinnin SIEM:n kanssa

    Monet EDR-tietoturvaratkaisut yhdistyvät saumattomasti olemassa oleviin suojaustieto- ja tapahtumien hallintaohjelmiin (SIEM) ja muihin työkaluihin, joita tietoturvatiimisi käyttää.

Miksi EDR on tärkeä?

EDR-tietoturvaratkaisut tarjoavat tärkeän suojauksen nykyaikaisille organisaatioille. Virusten ja haittaohjelmien torjuntaratkaisut eivät kykene yksinään estämään verkkoosi kohdistuvia hyökkäyksiä 100 prosenttisesti. Nettirikolliset kehittävät jatkuvasti taktiikoita, joita he käyttävät suojausten kiertämiseen, ja jotkut onnistuvat siinä väistämättä. Tietoturvatiimit tarvitsevat tehokkaita työkaluja jäljittääkseen sen pienen prosenttiosuuden uhista, jotka voivat läpäistä suojauksen ja aiheuttaa merkittäviä vahinkoja ja tietojen menetyksiä.

Uhat, kuten hajautetut palvelunestohyökkäykset (DDoS), tietojenkalastelu ja kiristysohjelmat, voivat olla tuhoisia organisaation toiminnalle, ja niiden korjaaminen voi olla erittäin kallista. Kyberrikolliset ovat yhä paremmin resursoituja ja motivoituneita. Järjestelmiin soluttautuminen on heille tuottoisaa, ja he investoivat kehittyneeseen teknologiaan parantaakseen hyökkäyksien onnistumista. Kyberuhkien kehittyessä on järkevää, että organisaatiot parantavat tietoturvatasoaan ennakoidakseen uhkia ja investoivat teknologiaan, joka voi vastata nykyaikaisiin uhkiin.

EDR:stä on tullut erityisen tärkeä etä- ja hybridityön yleistyessä yhä useammassa organisaatiossa. Kun työntekijät muodostavat yhteyden verkkoihin maantieteellisesti hajallaan olevista kannettavista tietokoneista, pöytätietokoneista ja matkapuhelimista, tietoturvatiimeillä on suojattavanaan laajempi hyökkäyksille altis pinta-ala. EDR-ratkaisujen avulla tietoturvatiimit voivat valvoa ja analysoida näiden päätepisteiden tietoja reaaliaikaisesti.

EDR:n vaikutus tapausten käsittelyyn

EDR-tietoturvaratkaisut voivat auttaa tiimiäsi olemaan tehokkaampi jokaisessa tapausten käsittelysuunnitelman vaiheessa. Sen lisäksi, että EDR-ominaisuudet auttavat tiimejä havaitsemaan uhkia, jotka saattavat muuten pysyä näkymättöminä, ne helpottavat manuaalisia ja työläitä tehtäviä, jotka liittyvät tapausten käsittelyn myöhempiin vaiheisiin:

Eristäminen, poistaminen ja palautuminen. EDR-ratkaisujen tarjoamien reaaliaikaisen näkyvyyden ja automaation avulla tiimisi voi nopeasti eristää tartunnan saaneet päätepisteet, estää kaiken liikenteen haitallisiin IP-osoitteisiin ja ryhtyä seuraaviin toimiin uhan lieventämiseksi. Päätepisteiden näköistiedostot, joita EDR-työkalut sieppaavat jatkuvasti, helpottavat tarvittaessa tartuntaa edeltäneeseen tilaan palauttamista.

Tapahtuman jälkeinen analyysi. EDR:n antamat tutkimustiedot päätepisteiden toiminnasta, verkkoyhteyksistä, käyttäjän toimista ja tiedostojen muokkauksista voivat auttaa analyytikoita suorittamaan ongelman pääsyyn analyysin ja tunnistamaan tapauksen alkuperän. He voivat myös analysoida ja raportoida nopeammin siitä, mikä toimi ja mikä ei, jotta he voivat olla paremmin valmistautuneita seuraavalla kerralla.

EDR ja uhkien etsintä

Ennakoiva kyberuhkien etsintä on tietoturvaharjoitus, jonka analyytikot tekevät etsiäkseen verkoistaan tuntemattomia uhkia. EDR-ratkaisut tukevat tätä tarjoamalla tutkimustietoja, joiden avulla analyytikot voivat päättää, mitä IOC:itä tutkia. Esimerkiksi tiettyjä tiedostoja, määrityksiä tai epäilyttävää toimintaa. Kyberuhkien maailmassa, jossa pahantahtoiset toimijat usein vaanivat ympäristössä huomaamattomina kuukausia, uhkien etsintä on arvokas tapa vahvistaa tietoturvan tilaa ja täyttää vaatimustenmukaisuusvaatimukset.

Joidenkin EDR-ratkaisujen avulla analyytikot voivat luoda mukautettuja sääntöjä kohdentaakseen uhkien havaitsemista. Näiden sääntöjen avulla voit ennakoivasti valvoa erilaisia tapahtumia ja järjestelmän tiloja, mukaan lukien epäiltyä rikkomusta ja väärin määriteltyjä päätepisteitä. Ne voidaan määrittää suoritettavaksi säännöllisin väliajoin, mikä luo ilmoituksia ja suorittaa korjaustoimia aina, kun vastaavuuksia löytyy.

Tee EDR:stä osa tietoturvastrategiaasi

Jos harkitset EDR-tietoturvaominaisuuksien lisäämistä tietoturvaasi, on tärkeää valita ratkaisu, joka yhdistyy saumattomasti olemassa oleviin työkaluihin ja yksinkertaistaa tietoturvaasi sen monimutkistamisen sijaan. On myös tärkeää valita EDR-ratkaisu, joka käyttää kehittynyttä tekoälyä, jotta se voi oppia aiemmista tapauksista ja käsitellä automaattisesti samankaltaisia ratkaisuja tiimisi työtaakan vähentämiseksi.

Auta tietoturvatiimiäsi olemaan tehokkaampi ja päihittämään hyökkääjät Microsoft Defender for Endpointin avulla. Defender for Endpointin avulla voit kehittää tietoturvastrategiaasi suojautuaksesi kehittyneitä uhkia vastaan kaikissa yrityksesi alustoissa.

Lue lisää Microsoft Securitysta

Microsoft Defender XDR

Saat tapaustason näkyvyyden koko hyökkäysketjuun, kehittyneiden hyökkäysten automaattisen estämisen ja nopeutetun reagoinnin hyökkäyksiin.

Microsoft Defenderin haavoittuvuuksien hallinta

Vähennä riskejä jatkuvan haavoittuvuuksien arvioinnin ja korjauksen avulla.

Microsoft Defender for Business

Suojaa pieniä ja keskisuuria yrityksiä nykyaikaisilta uhilta, jotka kiertävät perinteiset virustentorjuntaratkaisut.

Integroitu uhilta suojautuminen

Suojaa monipilvistä digitaalista tilasi hyökkäyksiltä yhdistetyllä XDR- ja SIEM-ratkaisulla.

Microsoft Defender for IoT

Hanki reaaliaikainen resurssien etsintä, hallitse haavoittuvuuksia ja suojaa esineiden Internettiäsi (IoT) ja teollisuusinfrastruktuuriasi uhilta.

Usein kysytyt kysymykset

  • EDR ei ole pelkkää virustentorjuntateknologia. Virustentorjuntaohjelma on suunniteltu estämään haitallisia toimijoita siirtymästä järjestelmään tarkistamalla tunnetut uhat tietokannasta ja suorittamalla automaattiset karanteenitoimet, jos se havaitsee uhan. EDR tarjoaa entistäkin vahvemman suojauksen, koska se pystyy etsimään tällä hetkellä tuntemattomia uhkia analysoimalla epäilyttävää toimintaa.

  • EDR tarkoittaa päätepisteiden tunnistusta ja käsittelyä, ja se on tärkeä työkalu liiketoiminnalle, jotta kyberrikolliset eivät pysty käyttämään työntekijöiden kannettavia tietokoneita, pöytätietokoneita ja mobiililaitteita eikä tunkeutua työtietoihin ja infrastruktuuriin. EDR tarjoaa tietoturvatiimeille näkyvyyden kaikkiin verkkoon yhdistettyihin päätepisteisiin ja tarjoaa tehokkaita työkaluja, joiden avulla tiimit voivat analysoida uhkasignaaleja ja havaita uhkia.

  • EDR toimii valvomalla jatkuvasti verkkoon yhdistettyjä päätepisteitä ja tallentamalla toimintaa, jotta tietoturvatiimit voivat tehokkaammin puolustaa organisaatiota uhilta. EDR koostaa telemetriatiedot keskitetysti ja analysoi ja korreloi niitä mahdollisten uhkien varalta. Se tekee myös automaattisia korjaustoimia tarvittaessa ja tarjoaa tutkimustietoa hyökkäyksistä, jotta tutkinta olisi nopeampaa.

  • Microsoft Defender for Endpoint on yrityksille tarkoitettu EDR, jonka tarkoituksena on auttaa organisaatioita ehkäisemään, havaitsemaan ja tutkimaan kehittyneitä uhkia ja reagoimaan niihin. Se yhdistyy moniin muihin Microsoft-ratkaisuihin ja tarjoaa kokonaisvaltaisen ja luokkansa parhaan suojauksen.

  • XDR on EDR:n luonnollinen kehitysaskel. XDR laajentaa EDR:n vaikutusaluetta ja tarjoaa optimoidun havaitsemisen ja reagoinnin laajaan tuotealueeseen verkoista ja palvelimista pilvipohjaisiin sovelluksiin ja päätepisteisiin. XDR tarjoaa monipuolisuutta ja integraatiota koko yrityksen olemassa oleviin tietoturvatyökaluihin ja -tuotteisiin.

Seuraa Microsoft 365:tä