Trace Id is missing
Pāriet uz galveno saturu
Microsoft drošība

Kas ir galapunktu atklāšana un reaģēšana (EDR)?

Pārlūkojiet, kā EDR tehnoloģija palīdz organizācijām aizsargāties pret nopietniem kiberapdraudējumiem, piemēram, izspiedējprogrammatūru.

Atklājiet Microsoft Defender galapunkta aizsardzībai

EDR definīcija

EDR ir kiberdrošības tehnoloģija, kas nepārtraukti pārrauga galapunktus, lai iegūtu pierādījumus par apdraudējumiem, un veic automātiskas darbības, lai palīdzētu tos mazināt. Galapunkti— daudzas fiziskās ierīces, kas savienotas ar tīklu, piemēram, mobilie tālruņi, galddatori, klēpjdatori, virtuālās mašīnas un lietiskā interneta (IoT) tehnoloģija — sniedz ļaunprātīgiem aktoriem vairākus ieejas punktus uzbrukumam organizācijai. EDR risinājumi palīdz drošības analītiķiem atklāt un koriģēt apdraudējumus galapunktos, pirms tie var izplatīties visā jūsu tīklā.

EDR drošības risinājumi reģistrē galapunktu darbību visu diennakti. Tie nepārtraukti analizē šos datus, lai atklātu aizdomīgas darbības, kas var liecināt par apdraudējumiem, piemēram, izspiedējprogrammatūru. Tas var arī veikt automātiskas darbības, lai ietvertu apdraudējumus un brīdinātu drošības speciālistus, kuri pēc tam izmanto ierakstītos datus, lai precīzi izpētītu, kā notika pārkāpums, ko tas ir ietekmējis un kas jādara tālāk.

EDR loma kiberdrošības jomā

Organizācijām, kas strādā, lai uzturētu drošību no kiberuzbrukuma, EDR ir solis uz priekšu salīdzinājumā ar pretvīrusu programmas tehnoloģiju. Pretvīrusu programma ir izstrādāta tā, lai ļaunprātīgiem aktoriem bloķētu ieiešanu sistēmā, pārbaudot, vai datu bāzē nav zināmu apdraudējumu, un veicot automātiskas ievietošanas karantīnā darbības, ja tā konstatē kādu no tiem. Galapunktu aizsardzības platformas (endpoint protection platforms — EPP) ir pirmā aizsardzības līnija, tostarp uzlabota pretvīrusu programmas un ļaunprogrammatūras aizsardzība, un EDR nodrošina papildu aizsardzību, ja notiek pārkāpums, iespējojot noteikšanu un koriģēšanu.

EDR ir spēja meklēt vēl nezināmus apdraudējumus — tos, kas iekļūst perimetrā —, nosakot un analizējot aizdomīgu uzvedību, ko citādi sauc par apdraudējuma indikatoriem (IOC).

EDR nodrošina drošības komandām redzamību un automatizāciju, kas tām nepieciešama, lai paātrinātu atbildi uz incidentu un novērstu uzbrukumu galapunktiem izplatīšanos. Tie tiek izmantoti, lai:

  • Pārraudzītu galapunktus un reģistrētu izsmeļošu informāciju par darbībām, lai reāllaikā noteiktu aizdomīgas darbības.
  • Analizētu šos datus, lai noteiktu, vai apdraudējumi garantē izmeklēšanu un koriģēšanu.
  • Ģenerētu prioritātes brīdinājumus drošības komandai, lai viņi zinātu, kas ir jārisina vispirms.
  • Sniegtu redzamību un kontekstu ar visu pārkāpuma vēsturi un apjomu, lai palīdzētu drošības komandām veikt izmeklēšanu.
  • Automātiski iekļautu vai koriģētu apdraudējumu, pirms tas var izplatīties.

Kā darbojas EDR?

Lai gan EDR tehnoloģija katram piegādātājam var atšķirties, tā kopumā darbojas vienādi. EDR risinājums:

  1. Nepārtraukti pārrauga galapunktus. Pēc ierīču pievienošanas EDR risinājums instalēs programmatūras aģentu katrā no tām, lai nodrošinātu, ka drošības komandām ir redzama visa digitālā ekosistēma. Ierīces, kurās ir instalēts aģents, tiek sauktas par pārvaldītām ierīcēm. Šis programmatūras aģents nepārtraukti reģistrē atbilstošas darbības katrā pārvaldītajā ierīcē.
  2. Apkopo telemetrijas datus. No katras ierīces iegūtie dati tiek nosūtīti atpakaļ no aģenta uz EDR risinājumu, kas var būt mākonī vai lokāli. Notikumu žurnāli, autentifikācijas mēģinājumi, lietojumprogrammu izmantošana un cita informācija drošības komandām tiek padarīta redzama reāllaikā.
  3. Analizē un korelē datus. EDR risinājums atklāj IOC, ko citādi būtu viegli palaist garām. EDR parasti izmanto AI un mašīnmācīšanos, lai lietotu uzvedības analīzi, pamatojoties uz globālo draudu informāciju, lai palīdzētu jūsu komandai atvairīt uzlabotu taktiku, kas tiek izmantota pret jūsu organizāciju.
  4. Izceļ paredzamos apdraudējumus un veic automātiskas koriģēšanas darbības. EDR risinājums atzīmē potenciālo uzbrukumu un nosūta veicamo darbību brīdinājumu drošības komandai, lai viņi varētu ātri reaģēt. Atkarībā no trigera EDR sistēma var arī izolēt galapunktu vai citādi ietvert apdraudējumu, lai novērstu tā izplatību, kamēr notiek incidenta izmeklēšana.
  5. Saglabā datus turpmākai lietošanai. EDR tehnoloģija saglabā pagātnes notikumu kriminālistikas uzskaiti, lai informētu par turpmāko izmeklēšanu. Drošības analītiķi var izmantot šo iespēju, lai konsolidētu notikumus vai iegūtu kopainu par ilgstošu vai iepriekš neatklātu uzbrukumu.

Galvenās EDR iespējas un līdzekļi

Visaptverošais EDR risinājums var sniegt jūsu drošības komandai atšķirīgas priekšrocības, kas ļauj viņiem efektīvāk aizsargāt darba datus. Tas viņiem ļauj:

Novērst nepilnības

EDR ļauj drošības komandām iegūt vienotu esošo galapunktu redzamību un pārvaldību, kā arī atklāt nepārvaldītus galapunktus, kas ir savienoti ar jūsu tīklu un kas varētu radīt nevajadzīgas izplatītākās ievainojamības un riskantumu (CVE). Viņi to var arī izmantot, lai samazinātu uzbrukumu virsmas, atzīmējot ievainojamības un nepareizas konfigurācijas.

Izmantot nākamās paaudzes izmeklēšanas rīkus

EDR risinājumi darbojas kopā ar jūsu drošības komandu, lai noteiktu visnopietnāko iespējamo apdraudējumu prioritāti, validētu tos un veiktu klasifikācijas darbības dažu minūšu laikā.

 

Bloķēt vissarežģītākos uzbrukumus

EDR risinājumi palīdz drošības komandām atrast sarežģītus apdraudējumus, piemēram, izspiedējprogrammatūru, kas pastāvīgi maina uzvedību, lai izvairītos no atklāšanas. Tas ir efektīvs pret uzbrukumiem, kuru pamatā ir faili, kā arī uzbrukumiem bez failiem.

Ātrāk koriģēt apdraudējumus

Drošības komandas var samazināt laiku, kas nepieciešams, lai reaģētu uz apdraudējumiem, izmantojot EDR rīkus, kas automātiski satur uzbrukumus, sāk izmeklēšanu, un izmanto mākslīgo intelektu kiberdrošībai , lai lietotu labāko praksi un noteiktu nākamās darbības.

Proaktīvi medīt apdraudējumus

EDR risinājumi izmanto bagātīgu uzvedības analīzi, lai nodrošinātu dziļu apdraudējuma pārraudzību, palīdzot komandām novērst uzbrukumus pēc pirmajām aizdomīgas darbības pazīmēm.

Integrējiet atklāšanu un reaģēšanu ar SIEM

Daudzi EDR drošības risinājumi ir nemanāmi integrēti ar esošajiem drošības informācijas un notikumu pārvaldības (SIEM) produktiem un citiem rīkiem jūsu drošības komandu grēdā.

Kāpēc EDR ir svarīgs?

EDR drošības risinājumi nodrošina svarīgu aizsardzību modernām organizācijām. Tikai pretvīrusu programmas un ļaunprogrammatūras novēršanas risinājumi vien nevar novērst 100 procentus uzbrukumu, kas, iespējams, būs vērsti pret jūsu tīklu. Kibernoziedznieki nepārtraukti attīsta taktiku, ko viņi izmanto, lai izvairītos no perimetra aizsardzības, un neizbēgami daži no viņiem netiks pamanīti. Drošības komandām ir nepieciešami jaudīgi rīki, lai meklētu to nelielu procentuālo apdraudējumu, kas var iekļūt perimetrā un izraisīt būtiskus bojājumus un datu zudumu.

Tādi apdraudējumi kā izkliedētā pakalpojuma atteikuma (DDoS) uzbrukumi, pikšķerēšana un izspiedējprogrammatūra var būt postoši organizācijas darbībām, un to koriģēšana var izmaksāt daudz naudas. Kibernoziedznieki kļūst arvien vairāk nodrošināti un motivēti. Iefiltrēšanās sistēmās viņiem ir ienesīgs bizness, un viņi iegulda progresīvās tehnoloģijās, lai padarītu savus uzbrukumus veiksmīgākus. Tā kā kiberdraudu taktika attīstās, organizācijām ir finansiāli saprātīgi jāuzlabo savs drošības stāvoklis, lai tās būtu proaktīvas un ieguldītu tehnoloģijās, kas var cīnīties pret mūsdienu apdraudējumiem.

EDR ir kļuvusi īpaši svarīga, jo arvien vairāk organizāciju izmanto attālā un hibrīdā darba modeļus. Tā kā darbinieki veido savienojumu ar tīkliem no ģeogrāfiski izkliedētiem klēpjdatoriem, datoriem un mobilajiem tālruņiem, drošības komandām ir lielākas uzbrukumu virsmas, kas jāaizsargā. EDR risinājumi sniedz viņiem iespēju reāllaikā pārraudzīt un analizēt datus no šiem galapunktiem.

EDR ietekme uz atbildi uz incidentu

EDR drošības risinājumi var palīdzēt jūsu komandai uzlabot efektivitāti katrā atbildes uz incidentu plānu fāzē. Papildus tam, ka komandas var noteikt apdraudējumus, kas citādi var palikt neredzami, tās var sagaidīt, ka EDR līdzekļi atvieglos manuālus un nogurdinošus uzdevumus, kas saistīti ar atbildes uz incidentu dzīves cikla vēlākajām fāzēm:

Ierobežošana, izskaušana un atkopšana. Reāllaika redzamības un automatizācijas EDR risinājumi palīdzēs jūsu komandai ātri izolēt inficētus galapunktus, bloķēt trafiku uz ļaunprātīgām IP adresēm un no tām, kā arī sākt veikt nākamās darbības, lai mazinātu apdraudējumu. Attēlu EDR rīki, kas nepārtraukti tver galapunktus, ļauj vieglāk atgriezties iepriekšējā neinficētā stāvoklī, kad nepieciešams.

Pēc notikuma veikta analīze. Kriminālistikas dati, ko EDR nodrošina par galapunkta darbībām, tīkla savienojumiem, lietotāja darbībām un failu modificēšanu, var palīdzēt jūsu analītiķiem veikt pamatcēloņu analīzi, identificējot notikuma izcelsmi. Tie arī paātrina analīzi un ziņo par to, kas darbojās labi un kas nedarbojās, lai nākamreiz varētu labāk sagatavoties.

EDR un draudu medības

Proaktīvas kiberapdraudējumu medības ir drošības uzdevums, ko analītiķi veic, lai meklētu savos tīklos nezināmus apdraudējumus. EDR risinājumi to atbalsta, sniedzot kriminālistikas datus, kas var palīdzēt jūsu analītiķiem izlemt, kurus IOC atlasīt, piemēram, konkrētus failus, konfigurācijas vai aizdomīgas darbības. Kiberapdraudējumu ainavā, kur ļaunprātīgi aktori bieži slēpjas vidē un vairākus mēnešus netiek atklāti, draudu medības ir vērtīgs veids, kā stiprināt jūsu drošības stāvokli un izpildīt atbilstības prasības.

Daži EDR risinājumi ļaus analītiķiem izveidot pielāgotas kārtulas mērķa draudu noteikšanai. Šīs kārtulas ļauj proaktīvi pārraudzīt dažādus notikumus un sistēmas stāvokļus, tostarp iespējamu pārkāpuma darbību un nepareizi konfigurētus galapunktus. Tos var iestatīt palaišanai regulāros intervālos, ģenerējot brīdinājumus un veicot atbildes darbības, kad ir atbilstības.

Padariet EDR par daļu no savas drošības stratēģijas

Ja apsverat iespēju pievienot EDR drošības iespējas savai aizsardzībai, ir svarīgi izvēlēties risinājumu, kas nemanāmi integrējas ar jūsu esošajiem rīkiem un vienkāršo drošības grēdu, nevis padara to sarežģītāku. Ir svarīgi arī izvēlēties EDR risinājumu, kas izmanto uzlabotu AI, lai tas varētu mācīties no iepriekšējiem incidentiem un automātiski apstrādāt līdzīgus, lai samazinātu jūsu komandas darba slodzi.

Izmantojot Microsoft Defender galapunkta aizsardzībai, ļaujiet savai drošības komandai būt efektīvākai un pārspēt uzbrucējus. Defender galapunkta aizsardzībai var palīdzēt attīstīt drošības stratēģiju, lai aizsargātu pret sarežģītiem apdraudējumiem jūsu vairāku platformu uzņēmumu.

Papildinformācija par Microsoft drošību

Microsoft Defender XDR

Iegūstiet incidentu līmeņa redzamību visā pakāpeniskajā kiberuzbrukumā, automātisku sarežģītu uzbrukumu pārtraukšanu un paātrinātu reaģēšanu.

Papildinformācija

Microsoft Defender ievainojamības pārvaldība

Novērsiet nepilnības un samaziniet risku ar nepārtrauktu ievainojamības novērtēšanu un koriģēšanu.

Papildinformācija

Microsoft Defender uzņēmumiem

Aizsargājiet savu mazo un vidējo uzņēmējdarbību pret moderniem apdraudējumiem, kas izvairās no tradicionālajiem pretvīrusu programmas risinājumiem.

Papildinformācija

Integrēta pretdraudu aizsardzība

Aizsargājiet savu vairākmākoņu digitālo īpašumu pret uzbrukumiem, izmantojot vienotu XDR un SIEM risinājumu.

Papildinformācija

Microsoft Defender for IoT

Iegūstiet reāllaika līdzekļu atklāšanu, pārvaldiet ievainojamības un aizsargājiet savu lietisko internetu (IoT) un industriālo infrastruktūru pret apdraudējumiem.

Papildinformācija

Bieži uzdotie jautājumi

  • EDR ir ne tikai pretvīrusu programmas tehnoloģija. Pretvīrusu programma ir izstrādāta tā, lai ļaunprātīgiem aktoriem bloķētu ieiešanu sistēmā, pārbaudot, vai datu bāzē nav zināmu apdraudējumu, un veicot automātiskas ievietošanas karantīnā darbības, ja tā konstatē apdraudējumu. EDR nodrošina vēl spēcīgāku aizsardzību, jo tai ir iespēja meklēt vēl nezināmus apdraudējumus, analizējot aizdomīgu uzvedību.

  • EDR nozīmē galapunktu atklāšanu un reaģēšanu, un uzņēmumā tas ir svarīgs rīks, lai nodrošinātu, ka kibernoziedznieki nespēj izmantot darbinieku klēpjdatorus, galddatorus un mobilās ierīces, lai iefiltrētos darba datos un infrastruktūrā. EDR nodrošina drošības komandu redzamību visos galapunktos, kas savienoti ar tīklu, un nodrošina jaudīgus rīkus, kas palīdz tām analizēt draudu signālus un noteikt apdraudējumus.

  • EDR darbojas, nepārtraukti pārraugot galapunktus, kas savienoti ar tīklu, un ierakstīšanas darbības, lai drošības komandas varētu efektīvāk aizsargāt organizāciju pret apdraudējumiem. EDR centralizēti apkopo telemetrijas datus, pēc tam analizē un korelē tos, lai novērstu potenciālus apdraudējumus. Tā arī veic automātiskas koriģēšanas darbības, ja nepieciešams, un nodrošina uzbrukumu kriminālistikas uzskaiti, lai paātrinātu izmeklēšanu.

  • Microsoft Defender galapunkta aizsardzībai ir uzņēmuma EDR, kas paredzēts, lai palīdzētu organizācijām novērst, noteikt, izmeklēt un reaģēt uz sarežģītiem apdraudējumiem. Tā ir integrēta ar daudziem citiem Microsoft risinājumiem, lai nodrošinātu vienotu, savā klasē labāko drošību.

  • XDR ir dabiska EDR evolūcija. XDR paplašina EDR tvērumu, piedāvājot integrētu atklāšanu un reaģēšanu plašākā produktu klāstā — no tīkliem un serveriem līdz mākonī izvietotām programmām un galapunktiem. XDR piedāvā elastību un integrāciju uzņēmuma esošo drošības rīku un produktu klāstā.

Sekot produktam Microsoft 365