В чём отличие EDR от других систем защиты информации?

Некоторые отличия EDR (Endpoint Detection and Response, «обнаружение и реагирование на конечных точках») от других систем защиты информации:

• Поддержка поведенческого анализа. www.securitylab.ru В отличие от антивируса, который проверяет файлы на наличие известных вредоносных сигнатур, EDR изучает, какие процессы запускаются, с кем они «общаются» по сети, какие файлы создают или меняют, и сопоставляет это со «штатными» паттернами. www.securitylab.ru
• Расширенная телеметрия. www.securitylab.ru EDR хранит информацию о сотнях или тысячах событий. www.securitylab.ru На основе этой информации можно выстраивать хронологию атаки, понимать, откуда взялась угроза, какие инструменты использовались, какие действия совершались. www.securitylab.ru
• Интеграция с другими системами. www.securitylab.ru EDR нередко интегрирован с SIEM-платформами, системами Threat Intelligence, а также с внешними сервисами по поиску уязвимостей. www.securitylab.ru
• Автоматическая реакция. www.securitylab.ru Если антивирус обычно просто блокирует или удаляет обнаруженный вредоносный объект, то EDR может «изолировать» машину в сети, предотвратить её взаимодействие с критически важными сервисами, выгрузить подозрительный процесс и даже отследить цепочку распространения угроз. www.securitylab.ru
• Защита разных устройств. www.kaspersky.ru EDR позволяет защитить любую конечную точку: от компьютеров, ноутбуков и смартфонов до локальных серверов в дата-центрах. www.kaspersky.ru