Что такое Endpoint Detection and Response (EDR)?⁠⁠

Исследовательская и консалтинговая компания, специализирующаяся на рынках информационных технологий Gartner определяет технологию Endpoint Detection and Response (EDR) как одну из трех основополагающих технологий Security operations center (SOC) (центр мониторинга и оперативного реагирования на инциденты).

EDR — это уже гораздо больше, чем просто передовая защита рабочих станций и серверов от сложных угроз. На протяжении долгого времени рабочие места остаются ключевой целью злоумышленников и самыми распространёнными точками входа в инфраструктуру организаций, что требует должного внимания и соответствующей защиты. Исходя из этого EDR стремительно становится движущей силой повышения уровня зрелости и эффективности современных SOC.

Давайте разберемся почему?

EDR как инструмент для обнаружения сложных угроз

Стоит понимать что сложные угрозы как правило это ряд целенаправленных мероприятий направленных на проникновение в структуру организации и они не ограничиваются только запуском вредоносного исполняемого файла (который может быть обнаружен антивирусом методом сравнения с базой сигнатур) а могут включать атаки с использованием неизвестного вредоносного кода, скомпрометированных учетных записей, без файловых методов, легитимных приложений и действий, не несущих под собой ничего подозрительного например криптожекинг и т.д.

В таких случаях EDR может включать, различные технологии обнаружения, работающие в автоматическом, полуавтоматическом режиме, и встроенные инструменты, например:

- антивирус

- движок поведенческого анализа

- песочница

- поиск индикаторов компрометации (IoC)

- Анализ индикаторов атак IoA

- сопоставление с техниками MITRE ATT&CK

- взаимодействие с Threat Intelligence

- ретроспективный анализ

- проактивный поиска угроз (Threat Hunting)

EDR позволяет составлять сложные запросы на поиск подозрительных активностей, вредоносных действий с учетом особенностей защищаемой инфраструктуры но все же стоит помнить что EDR является одним из трех основополагающих систем SOC другие две технологи Security information and event management (SIEM)и Network Traffic Analysis (NTA))

Другими словами данные с EDR о событиях на хостах являются значимым дополнением к информации, генерируемой другими элементами безопасности, которые сопоставляются SIEM системой в центре мониторинга и оперативного реагирования на инциденты. EDR обеспечивает быстрый доступ к уже обогащённым дополнительным контекстом данным c инфраструктуры конечных точек, что позволяет, с одной стороны, быстро идентифицировать ложные срабатывания, с другой, использовать эти данные, как уже обработанный материал при расследовании сложносоставных атак, то есть EDR предоставляет релевантные логи для корреляции с событиями от иных источников, тем самым повышает качество глобальных расследований в SOC.

EDR обеспечивает полностью автоматизированный рабочий процесс управления инцидентами, от обнаружения угроз, до анализа и реагирования. Это позволяет SOC выполнять более эффективно ежедневные задачи, не тратя времени на ручную работу, тем самым снижая затраты на анализ ненужных журналов.

Злоумышленники после проникновения зачастую уничтожают свои следы, но EDR записывает каждое действие атакующих. Вся цепочка событий фиксируется сохраняется для дальнейшего использования. При срабатывании предупреждения любого характера, EDR предоставляет удобный инструментарий, с помощью которого аналитики SOC могут оперативно запрашивать информацию для проверки угроз, устранения ложных срабатываний, а также делать запросы на повторное сканирование ретроспективных данных для повышения эффективности расследования и реагирования.

Все действия на хостах представляются в интерфейсе в виде дерева событий, тем самым помогая аналитикам видеть всю картину развития атаки.

Централизованное хранение телеметрии, объектов и ранее сформированных вердиктов позволяет аналитикам работать с ретроспективными данными в рамках расследования угроз, в том числе и растянутых во времени атак. EDR сегодня – это один из основных источников ценных данных для современного SOC.

В случае обнаружения инцидента, EDR предоставляет расширенные возможности для принятия мер на разных этапах его расследования, например:

- карантин файла,

- выполнение произвольных команд на хосте удаление объекта

- сетевая изоляция хостов.

EDR позволяет незамедлительно реагировать на инциденты за счет наглядного представления информации и централизованной постановки задач, что не требует прямого доступа на атакованный хост, и может управляться с централизованной панели управления.

Как итог написанному, использование EDR в рамках SOC позволит организациям:

повысить эффективность процесса обработки сложных инцидентов за счет дополнительной видимости уровня конечных точек, возможности проактивного поиска угроз и наглядного предоставления информации об обнаруженных событиях на хостах;

обогатить SOC предобработанными релевантными данными с рабочих мест и серверов, для сопоставления с логами, предоставляемыми другими источниками для эффективного расследования;

значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные со анализом данных с рабочих мест и серверов, а также реагированию на инциденты.

Источник