В чем заключаются ключевые отличия EDR от традиционного антивируса?

Некоторые ключевые отличия EDR (Endpoint Detection and Response) от традиционного антивируса:

• Поддержка поведенческого анализа. www.securitylab.ru Антивирус чаще всего полагается на обновлённые базы сигнатур. www.securitylab.ru EDR изучает, какие процессы запускаются, с кем они «общаются» по сети, какие файлы создают или меняют, и сопоставляет это со «штатными» паттернами. www.securitylab.ru
• Расширенная телеметрия. www.securitylab.ru EDR хранит информацию о сотнях или тысячах событий. www.securitylab.ru На основе этой информации можно выстраивать хронологию атаки, понимать, откуда взялась угроза, какие инструменты использовались, какие действия совершались. www.securitylab.ru
• Интеграция с другими системами. www.securitylab.ru EDR нередко интегрирован с SIEM-платформами, системами Threat Intelligence, а также с внешними сервисами по поиску уязвимостей. www.securitylab.ru
• Автоматическая реакция. www.securitylab.ru Если антивирус обычно просто блокирует или удаляет обнаруженный вредоносный объект, то EDR может «изолировать» машину в сети, предотвратить её взаимодействие с критически важными сервисами, выгрузить подозрительный процесс и даже отследить цепочку распространения угроз. www.securitylab.ru
• Обнаружение сложных угроз. www.clouddefense.ai EDR предназначен для обнаружения сложных атак, таких как программы-вымогатели или бесфайловое вредоносное ПО, которые могут пройти мимо традиционного антивируса. www.clouddefense.ai