Hva er endepunktoppdagelse og -svar (EDR)?
Utforsk hvordan EDR-teknologi hjelper organisasjoner med å beskytte seg mot alvorlige cybertrusler som løsepengevirus.
Definisjon av EDR
EDR er en teknologi for cybersikkerhet som kontinuerlig overvåker endepunkter for bevis på trusler og utfører automatiske handlinger for å bidra til å redusere dem. EndepunktEndepunkter – de mange fysiske enhetene som er koblet til et nettverk, for eksempel mobiltelefoner, stasjonære datamaskiner, bærbare datamaskiner, virtuelle maskiner og Tingenes Internett (IoT)-teknologi – gir ondsinnede aktører flere inngangspunkter for et angrep på en organisasjon. EDR-løsninger hjelper sikkerhetsanalytikere med å oppdage og utbedre trusler på endepunkter før de kan spre seg over hele nettverket.
EDR-sikkerhetsløsninger logger atferd på endepunkter døgnet rundt. De analyserer kontinuerlig disse dataene for å avsløre mistenkelig aktivitet som kan indikere trusler som løsepengevirus. Den kan også utføre automatiske handlinger for å inneholde trusler og varsle sikkerhetsteknikere, som deretter bruker de registrerte dataene til å undersøke nøyaktig hvordan sikkerhetsbruddet oppstod, hva det har påvirket, og hva som må gjøres videre.
EDRs rolle i cybersikkerhet
For organisasjoner som arbeider for å holde seg trygge fra et cyberangrep, representerer EDR et steg opp fra antivirusteknologi. Et antivirusprogram er utformet for å hindre skadelige aktører i å komme inn i et system ved å se etter kjente trusler fra en database og utføre automatiske karantenehandlinger hvis det oppdager en av dem. Endepunktbeskyttelsesplattformer (EPP-er) er den første forsvarslinjen, inkludert avansert beskyttelse mot antivirus og beskyttelse mot skadelig programvare, og en EDR gir ekstra beskyttelse hvis det oppstår et sikkerhetsbrudd, ved å aktivere gjenkjenning og utbedring.
EDR har muligheten til å lete etter ukjente trusler – som kommer forbi perimeteren –ved å oppdage og analysere mistenkelig atferd, ellers kjent som indikasjoner på kompromittering (IOP-er).
EDR gir sikkerhetsteam synligheten og automatiseringen de trenger for raskere svar på hendelser og hindre at angrep på endepunkter sprer seg. De brukes til å:
- Overvåke endepunkter og holde oversikt over aktivitet for å oppdage mistenkelig aktivitet i sanntid.
- Analyser disse dataene for å finne ut om trusler må undersøkes og utbedres.
- Generer prioriterte varsler for sikkerhetsteamet, slik at de vet hva som må løses først.
- Gi innsyn i og kontekst for hele historikken og omfanget av et sikkerhetsbrudd for å hjelpe sikkerhetsteamet med undersøkelsene.
- Begrens eller utbedre trusselen automatisk før den kan spre seg.
Hvordan fungerer EDR?
Selv om EDR-teknologi kan variere for hver leverandør, fungerer de stort sett på samme måte. En EDR-løsning:
- overvåker kontinuerlig endepunkter Når enhetene pålastes, installerer EDR-løsningen en programvareagent på hver av dem for å sikre at hele det digitale økosystemet er synlig for sikkerhetsteamene. Enheter med agenten installert kalles administrerte enheter. Denne programvareagenten logger kontinuerlig relevant aktivitet på hver administrerte enhet.
- aggregerer diagnosedata Dataene som inntas fra hver enhet, sendes tilbake fra agenten til EDR-løsningen, som kan være i skyen eller lokalt. Hendelseslogger, godkjenningsforsøk, programbruk og annen informasjon gjøres synlig for sikkerhetsteam i sanntid.
- analyserer og korrelerer data EDR-løsningen avdekker IOC-er som ellers ville vært enkle å gå glipp av. EDR-er bruker vanligvis kunstig intelligens og maskinlæring med atferdsanalyse basert på global trusselintelligens for å hjelpe teamet ditt med å unngå avanserte taktikker som brukes mot organisasjonen din.
- avdekkker mistenkte trusler og utfører automatiske utbedringshandlinger EDR-løsningen flagger et potensielt angrep og sender et handlingsvarsel til sikkerhetsteamet slik at de kan svare raskt. Avhengig av utløseren kan EDR-systemet også isolere et endepunkt eller på annen måte begrense trusselen for å hindre at den sprer seg mens hendelsen undersøkes.
- lagrer data for fremtidig bruk EDR-teknologi holder en teknisk oversikt over tidligere hendelser for å informere fremtidige undersøkelser. Sikkerhetsanalytikere kan bruke dette til å konsolidere hendelser eller få et oversiktlig bilde over et langvarig eller tidligere uoppdaget angrep.
Viktige EDR-funksjoner
-
eliminere blindsoner
EDR gjør det mulig for sikkerhetsteam å få enhetlig synlighet og administrasjon av eksisterende endepunkter og oppdage uadministrerte endepunkter som er koblet til nettverket som kan introdusere unødvendige vanlige sårbarheter og eksponeringer (CVE-er). De kan også bruke den til å redusere angrepsoverflater ved å flagge sårbarheter og feilkonfigurasjoner.
-
Bruk neste generasjons undersøkelsesverktøy
EDR-løsninger støtter sikkerhetsteamet for å prioritere de mest alvorlige potensielle truslene, bekrefte dem og utføre sorteringshandlinger på få minutter.
-
Blokker de mest avanserte angrepene
EDR-løsninger hjelper sikkerhetsteam med å finne avanserte trusler, for eksempel løsepengevirus, som kontinuerlig finner nye virkemåter for å unngå oppdaging. Det er effektivt mot både filbaserte og filløse angrep.
-
Utbedre trusler raskere
Sikkerhetsteam kan redusere tiden det tar å svare på trusler med EDR-verktøy som automatisk begrenser et angrep, iverksette undersøkelser og bruke AI for cybersikkerhet til å anvende anbefalte fremgangsmåter og bestemme de neste trinnene.
-
Jakt proaktivt etter trusler
EDR-løsninger bruker en omfattende atferdsanalyse for å levere dyp trusselovervåking, noe som hjelper team med å snuse opp angrep ved første hint om mistenkelig oppførsel.
-
Integrer gjenkjenning og svar med SIEM
Mange EDR-sikkerhetsløsninger integreres sømløst med eksisterende produkter for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) og andre verktøy sikkerhetsteamene bruker.
Hvorfor er EDR viktig?
EDR-sikkerhetsløsninger gir viktig beskyttelse for moderne organisasjoner. Antivirus og program for beskyttelse mot skadelig programvare alene kan ikke forhindre 100 prosent av angrepene som sannsynligvis vil være rettet mot nettverket ditt. Cyberkriminelle utvikler kontinuerlig taktikkene de bruker til å unngå perimeter-forsvar, og noen kommer til å gå forbi dem. Sikkerhetsteam trenger robuste verktøy for å jakte på den lille prosentandelen av trusler som kan komme forbi perimeteren og forårsake betydelig skade og tap av data.
Trusler som for eksempel distribuerte tjenestenektangrep (DDoS), phishing og løsepengevirus kan være skadelig for en organisasjons drift og koste mye penger å utbedre. Cyberkriminelle blir stadig mer ressurssterke og svært motiverte. Infiltrasjon av systemer er en krevende virksomhet for dem, og de investerer i avansert teknologi for å gjøre angrepene mer vellykkede. Med den hastigheten cybertrusler utvikler seg, gir det god økonomisk mening for organisasjoner å forbedre sikkerhetsstillingen sin for å være proaktive og investere i teknologi som kan takle moderne trusler.
EDR har blitt spesielt viktig ettersom flere organisasjoner tar i bruk eksterne og hybride arbeidsmønstre. Når ansatte kobler til nettverk fra geografisk spredte bærbare datamaskiner, PC-er og mobiltelefoner, har sikkerhetsteam større angrepsoverflater å forsvare. EDR-løsninger gir dem muligheten til å overvåke og analysere dataene fra disse endepunktene i sanntid.
EDRs innvirkning på svar på hendelser
EDR-sikkerhetsløsninger kan hjelpe teamet ditt med å skape effektivitet i hver fase av planene for svar på hendelser. I tillegg til å gi team mulighet til å oppdage trusler som ellers kan være usynlige, kan de forvente at EDR-funksjoner løser manuelle og kjedelige oppgaver som er knyttet til de senere fasene av livssyklusen for hendelsesrespons:
Begrensning, fjerning og gjenoppretting. EDR-løsningene for synlighet og automatisering i sanntid vil hjelpe teamet ditt med raskt å isolere infiserte endepunkter, blokkere trafikk til og fra skadelige IP-adresser, og begynne å utføre de neste trinnene for å redusere trusselen. EDR-verktøyene fanger kontinuerlig opp bilder av endepunkter, noe som gjør det enklere å rulle tilbake til en tidligere uinfisert tilstand når det er nødvendig.
Analyser etter hendelsen. De tekniske dataene EDR gir om endepunktsaktiviteter, nettverkstilkoblinger, brukerhandlinger og filendringer, kan hjelpe analytikere med å utføre en årsaksanalyse – som identifiserer opprinnelsen til en hendelse. Det gjør også prosessen med å analysere og rapportere hva som fungerte bra og hva som ikke fungerte, slik at de kan være bedre forberedt til neste gang.
EDR og trusseljakt
Proaktiv jakt på datatrusler er en sikkerhetsøvelse analytikere gjør for å søke i nettverkene sine etter ukjente trusler. EDR-løsninger støtter dette ved å levere tekniske data som kan hjelpe analytikere med å avgjøre hvilke IOP-er som skal målrettes, for eksempel bestemte filer, konfigurasjoner eller mistenkelig atferd. I et landskap der ondsinnede aktører ofte skjuler seg i et miljø som ikke oppdages på flere måneder, er trusseljakt en verdifull måte å styrke sikkerhetsstillingen din på og oppfylle kravene til forskriftssamsvar.
Noen EDR-løsninger gjør det mulig for analytikere å opprette egendefinerte regler for målrettet trusseloppdaging. Disse reglene gjør det mulig å proaktivt overvåke ulike hendelser og systemtilstander, inkludert antatt bruddaktivitet og feilkonfigurerte endepunkter. De kan konfigureres til å kjøre med jevne mellomrom, generere varsler og utføre svarhandlinger når det er treff.
Gjør EDR til en del av sikkerhetsstrategien din
Hvis du vurderer å legge til EDR-sikkerhetsfunksjoner i forsvaret, er det viktig å velge en løsning som integreres sømløst med eksisterende verktøy og forenkler sikkerhetsstakken i stedet for å gjøre den mer kompleks. Det er også viktig å velge en EDR-løsning som bruker avansert kunstig intelligens, slik at den kan lære fra tidligere hendelser og automatisk håndtere lignende for å redusere teamets arbeidsbelastning.
Gi sikkerhetsteamet ditt muligheten til å bli mer effektive og utmanøvrere angripere med Microsoft Defender for endepunkt. Defender for endepunkt kan hjelpe deg med å utvikle sikkerhetsstrategien din for å beskytte mot avanserte trusler på tvers av foretaket over flere plattformer.
Mer informasjon om Microsoft Sikkerhet
Microsoft Defender XDR
Få synlighet på hendelsesnivå på tvers av kill chain, automatisk bekjempelse av sofistikerte angrep og akselererte svar.
Microsoft Defender Vulnerability Management
Lukk hull og reduser risikoen med kontinuerlig sårbarhetsvurdering og utbedring.
Microsoft Defender for bedrifter
Beskytt små til mellomstore bedrifter mot moderne trusler som slipper unna tradisjonelle antivirusløsninger.
Integrert trusselbeskyttelse
Beskytt din digitale eiendom med flere skyer mot angrep med en enhetlig XDR- og SIEM-løsning.
Microsoft Defender for IoT
Få ressursoppdagelse i sanntid, håndter trusler og beskytt infrastrukturen din for tingenes internett (IoT) og industriell infrastruktur mot trusler.
Vanlige spørsmål
-
EDR er ikke bare antivirusteknologi. Et antivirusprogram er utformet for å hindre skadelige aktører i å komme inn i et system ved å se etter kjente trusler fra en database og utføre automatiske karantenehandlinger hvis det oppdager en trussel. EDR gir enda sterkere beskyttelse fordi den har muligheten til å lete etter ukjente trusler ved å analysere mistenkelig atferd.
-
EDR står for endepunktregistrering og -svar, og i bedriften er det et viktig verktøy for å sikre at nettkriminelle ikke kan bruke de ansattes bærbare datamaskiner, stasjonære datamaskiner og mobile enheter til å infiltrere arbeidsdata og infrastruktur. EDR gir sikkerhetsteam innsikt i alle endepunktene som er koblet til et nettverk, og gir robuste verktøy for å hjelpe dem med å analysere trusselsignaler og oppdage trusler.
-
EDR fungerer ved kontinuerlig å overvåke av endepunkter som er koblet til et nettverk og registrerer atferd, slik at sikkerhetsteam kan forsvare en organisasjon mot trusler på en mer effektiv måte. En EDR samler telemetridata sentralt og analyserer og koordinerer dem deretter for potensielle trusler. Den utfører også automatiske utbedringshandlinger om nødvendig og gir teknisk informasjon om angrep for å gjøre undersøkelser raskere.
-
Microsoft Defender for endepunkt er en foretaks-EDR utformet for å hjelpe organisasjoner med å forhindre, oppdage, undersøke og svare på avanserte trusler. Den integreres med mange andre Microsoft-løsninger for å gi helhetlig, førsteklasses sikkerhet.
-
XDR er en naturlig videreutvikling av EDR. XDR utvider omfanget av EDR og tilbyr optimalisert gjenkjenning og svar på tvers av et bredere utvalg av produkter, fra nettverk og servere til skybaserte programmer og endepunkter. XDR tilbyr fleksibilitet og integrasjon på tvers av bedriftenes utvalg av eksisterende sikkerhetsverktøy og -produkter.
Følg Microsoft 365