Skip to content Skip to navigation Skip to footer
definição
Componentes do EDR
Como funciona o EDR
Produtos e serviços Fortinet
Perguntas frequentes

Definição de detecção e resposta de endpoint (EDR)

O  software de detecção e resposta de endpoint (EDR)é usado pelas equipes de operações de segurança para detectar, conter, investigar e corrigir ataques cibernéticos, como ransomware e outros malwares. As ferramentas de EDR são usadas para descobrir atividades suspeitas em hosts e endpoints conectados à rede, como telefones celulares, desktops, laptops e máquinas virtuais. 

De acordo com o consultor de segurança Dr. Anton Chuvakin, que é reconhecido por criar o termo detecção e resposta de endpoint, as soluções de EDR, “registrar e armazenar comportamentos no nível do sistema de endpoint, usar várias técnicas de análise de dados para detectar comportamentos suspeitos do sistema, fornecer informações contextuais, bloquear atividades maliciosas e fornecer sugestões de remediação para restaurar sistemas afetados”.

Também chamado de detecção de endpoint e resposta a ameaças (EDTR), o software EDR integra monitoramento contínuo em tempo real e coleta de dados de endpoint e inteligência acionável contra ameaças com recursos automatizados de análise e resposta a ameaças cibernéticas baseados em regras. Seja detectando, respondendo ou corrigindo, as soluções EDR oferecem uma ótima primeira e última linha de defesa para estações de trabalho de computador em rede e dispositivos de endpoint, seja no escritório ou em locais remotos, bem como para servidores e cargas de trabalho em nuvem.

Por que a EDR é importante?

Há muitos benefícios que ressaltam por que a EDR é importante para a segurança cibernética, mas o principal motivo é detectar e mitigar os danos das ameaças cibernéticas e evitar a exfiltração de dados para criminosos. As soluções de EDR não apenas identificam ataques cibernéticos e os impedem de se espalhar; no caso de um ataque de ransomware, a EDR pode reverter alterações maliciosas ao ponto antes que os dados sejam criptografados e mantidos para resgate. A EDR é importante porque ajuda a:

Reduza as superfícies de ataque e elimine os pontos cegos — O  EDR descobre automaticamente dispositivos não autorizados, dispositivos IoT e aplicativos e suas vulnerabilidades, com base em políticas de mitigação de riscos para endpoints existentes e não gerenciados conectados à rede. Isso é para trazê-los sob gerenciamento, configurar políticas de controle de comunicação ou configurar políticas de patching virtual.

Bloqueie ataques cibernéticos sofisticados — O  EDR detecta e desativa automaticamente ameaças potenciais em tempo real, para ajudar as equipes de segurança a identificar ataques furtivos,  comoransomware. Os recursos antiviolação impedem que o malware desligue o software EDR.

Buscar ameaças de forma proativa e automatizar a remediação — O  EDR aplica análises comportamentais para o monitoramento de ameaças a fim de identificar comportamentos suspeitos e pode realizar a busca de ameaças em busca de comportamentos maliciosos e outros IOCs. O EDR pode automatizar as etapas de remediação por meio de manuais personalizáveis de resposta a incidentes.

Aumente a eficiência e a velocidade das operações de segurança — O  EDR alivia a carga sobre as equipes de segurança, priorizando possíveis ameaças graves e, após a validação, automatizando as ações de triagem. A EDR detecta e desativa ameaças em tempo real, contém ataques e inicia investigações.

Integre detecção e resposta com soluções de SIEM, SOAR, XDR e operações de segurança. O  EDR pode se integrar às ferramentas SecOps existentes,soluções  SIEM e SOAR e faz parte da detecção e resposta estendidas ou XDR, uma solução de próxima geração fornecida em nuvem que integra EDR com outras ferramentas de segurança cibernética, incluindo detecção e resposta de rede (NDR).

Principais componentes funcionais das soluções de segurança EDR

A detecção de ameaças é a base de todas as soluções de EDR para conter, investigar e eliminar ameaças como parte do processo de remediação. O problema não é se uma organização enfrentará ameaças; é uma questão do que acontece após um malware sofisticado que parece ser seguro, revela sua intenção maliciosa, depois de infectar os sistemas da organização.

Além das principais funções de detecção, contenção, investigação e remediação de ameaças, a EDR coordena respostas e alertas automáticos para ameaças iminentes, incorporando recursos de coleta, análise e resposta de dados. Esses seguintes componentes funcionais compõem a base das soluções de EDR.

Coleta de dados, análise comportamental e resposta automatizada

  • Os agentes de coleta de dados de endpoint monitoram continuamente os endpoints e coletam dados. Isso inclui dados envolvendo processos, quanta atividade ocorre no endpoint, as conexões do endpoint e os dados transferidos de e para o endpoint.

  • A análise comportamental analisa dados de endpoint em tempo real para diagnosticar ameaças rapidamente,  mesmo que não correspondam aos parâmetros de ameaça pré-configurados. As ferramentas forenses analisam a natureza da ameaça e, após ela ter sido contida, como o ataque foi executado.

A resposta automatizada a  incidentes identifica ameaças e aciona uma resposta automática com base em regras projetadas pela equipe de segurança. Isso determina a natureza da ameaça e a resposta apropriada, como enviar um alerta de que o usuário do endpoint comprometido será desconectado da rede.

1. Detecção

  • A análise contínua de arquivos detecta ameaças examinando cada arquivo que interage com o endpoint. Os arquivos que apresentam uma ameaça são sinalizados. Em muitos casos, um arquivo parece seguro, no início. No entanto, se começar a exibir comportamento ameaçador, seu EDR pode enviar um alerta para informar a equipe de TI e outras partes interessadas.
  • A inteligência global contra ameaças cibernéticas identifica ameaças que se assemelham aos perfis das ferramentas que os hackers empregam para prejudicar os sistemas de segurança cibernética. A inteligência contra ameaças analisa informações coletadas de inteligência artificial (IA) e grandes depósitos de dados de ameaças cibernéticas existentes e em constante evolução para detectar ameaças que estão visando endpoints.

2. Contenção

Após a detecção, a contenção de ameaças pode isolar endpoints específicos ou segmentar partes da rede para evitar que as ameaças se espalhem lateralmente. Além da segmentação de rede, é fundamental conter a ameaça para impedir que outros endpoints no segmento sejam infectados ou mantidos como reféns, como é o caso do ransomware.

3. Investigação

Como o ápice de todas as etapas acima, a remediação é capaz de eliminar uma ameaça removendo-a dos sistemas de uma organização. As informações coletadas sobre a ameaça são usadas para identificar os aplicativos e dados que o arquivo malicioso afetou ou tentou atacar, bem como se o arquivo se replicou a outros sistemas ou segmentos de rede. Algumas soluções de EDR podem retornar endpoints infectados ao estado anterior para reduzir o impacto na produtividade.

4. Eliminação

Eliminar a ameaça é o ápice das etapas anteriores: detecção, contenção e investigação. Embora as outras facetas da EDR forneçam conhecimento crítico sobre a ameaça, essa informação é inútil se não for empregada para eliminá-la e ameaças semelhantes no futuro. O processo de eliminação depende da coleta de informações críticas sobre a ameaça e, em seguida, do uso dela para executar um plano de ação.

Por exemplo, o sistema precisa descobrir de onde veio a ameaça. As informações sobre a origem da ameaça podem ser usadas para melhorar medidas de segurança futuras. O sistema também precisa identificar os aplicativos e dados que o arquivo malicioso afetou ou tentou atacar, bem como se o arquivo se replicou para continuar seu ataque.

A eliminação depende muito da visibilidade. A visibilidade das origens do arquivo e como ele se comportou durante o ataque permite que você ajuste os protocolos de segurança para proteger o restante da rede. Em alguns sistemas EDR, você pode optar por devolver um endpoint infectado para como era antes do ataque ocorrer. Dessa forma, você pode colocar seu sistema de volta em funcionamento, o que pode reduzir o impacto da ameaça na produtividade da organização.

Como funciona o EDR?

As plataformas EDR monitoram continuamente dispositivos de endpoint físicos usando análises com um alto grau de automação para detectar e responder rapidamente a ameaças cibernéticas. As soluções de EDR podem variar amplamente em suas capacidades, mas, em geral, elas seguem um fluxo de trabalho circular para detectar, conter, investigar e corrigir ameaças da seguinte forma:

  1. Monitore continuamente os dispositivos de endpoint. Quando os endpoints e os usuários estão integrados, a solução EDR instalará um agente de software em cada um deles que “gerencia o dispositivo” usando algoritmos de IA e aprendizado de máquina para analisar os comportamentos no endpoint. O agente de software registra continuamente atividades relevantes em cada dispositivo gerenciado. O EDR garante que todos os endpoints e usuários estejam visíveis para as equipes de segurança. 
  2. Dados de telemetria agregados. Os dados ingeridos de cada dispositivo são enviados de volta do agente para a solução EDR, que pode estar na nuvem ou no local. Logs de eventos, tentativas de autenticação, uso de aplicativos e outras informações são visíveis para as equipes de segurança em tempo real. Os dados sobre a atividade em cada endpoint são armazenados para que, quando o comportamento muda, a EDR tome medidas.
  3. Analise e correlacione dados para descobrir anomalias.O  EDR coleta dados sobre o comportamento suspeito e, em seguida, filtra e analisa-os, procurando evidências de arquivos maliciosos. Dessa forma, a EDR descobre incidentes de comprometimento que, de outra forma, poderiam ser perdidos. A EDR usa análises comportamentais que aproveitam a IA e o aprendizado de máquina com inteligência global contra ameaças para detectar ataques cibernéticos. A detecção aciona um alarme que inicia uma investigação para identificar a origem do ataque e como ele passou pelo perímetro do sistema. 
  4. Sinalize ameaças suspeitas e tome medidas de remediação automáticas.  As soluções de EDR sinalizam possíveis ataques e enviam alertas acionáveis para as equipes de segurança para que possam responder rapidamente e notificar os usuários. Dependendo da natureza da ameaça, a EDR pode isolar um endpoint(s) ou um segmento de rede para conter a ameaça enquanto o incidente está sendo investigado. A remediação aproveita as etapas anteriores para eliminar a ameaça de todos os sistemas e segmentos e restaurar os endpoints para a operação.
  5. Armazenar dados para uso forense.A tecnologia  EDR mantém um registro forense de eventos passados para informar investigações futuras. Os analistas de segurança podem usar esses dados históricos para consolidar eventos ou para obter o panorama geral sobre um ataque prolongado ou anteriormente não detectado.

Benefícios do EDR

A EDR é fundamental para as operações de segurança porque ajuda a reduzir o tempo que as equipes de segurança levam para responder a ataques cibernéticos. As soluções de EDR melhoram a detecção de ameaças, oferecem recursos de resposta em tempo real e melhoram a postura geral de segurança de uma organização para reduzir o risco de violações de dados e ajudar a garantir a continuidade dos negócios. Há muitos benefícios, as soluções EDR:

  1. Reduza o risco de violações de segurança e evite que as ameaças cibernéticas se espalhem por meio de monitoramento e detecção contínuos e resposta automática a incidentes (ou seja, contenção, investigação e remediação). 
  2. Identifique ameaças sofisticadas negligenciadas pelo software antivírus tradicional com análise avançada, aprendizado de máquina e análise comportamental.
  3. Fornecer informações sobre atividades de endpoint para ajudar as equipes de segurança a investigar o escopo e a natureza das ameaças (ou seja, data lake de ameaças, logs detalhados e dados forenses).
  4. Automatize respostas a ameaças que acionam procedimentos de mitigação e remediação para  isolar dispositivos infectados, segmentar a rede para conter infecção, encerrar processos maliciosos e eliminar arquivos de malware).
  5. Reduza a superfície de ataque disponível para ameaças cibernéticas com ferramentas de caça a ameaças que podem identificar proativamente possíveis vulnerabilidades em uma rede antes que elas possam ser exploradas.
  6. Ajude as organizações a cumprir os padrões e regulamentos do setor com relatórios que incluem logs abrangentes para demonstrar o uso de medidas de segurança apropriadas e respostas a incidentes.
  7. Melhore a postura geral de segurança e a visibilidade da atividade de ameaças, integrando-se a sistemas de segurança mais amplos, como sistemas SIEM, SOAR e XDR.
  8. Fortaleça defesas futuras para análise pós-incidente com inteligência de ameaças que fornece aos analistas informações sobre vetores de ataque.

Produtos e serviços Fortinet

A segurança de endpoint FortiEDR - oferece visibilidade, análise, proteção e remediação em tempo real para endpoints gerenciados com um agente leve. O FortiEDR oferece segurança abrangente de endpoint que melhora a postura de segurança cibernética para estações de trabalho, servidores e cargas de trabalho em nuvem e se alinha à estrutura MITRE ATT&CK para combater ameaças evasivas como ransomware. Ele reduz proativamente a superfície de ataque, evita a infecção por malware, detecta e desativa possíveis ameaças em tempo real e automatiza a resposta a incidentes, bem como procedimentos de remediação com manuais personalizáveis. 

As organizações confiam no FortiEDR para identificar e interromper violações de forma automática e eficiente sem interromper as operações de negócios ou sobrecarregar as equipes de segurança com alarmes falsos.

O FortiXDR  ou a detecção e resposta estendidas (XDR) é uma solução EDR de próxima geração fornecida na nuvem que oferece detecção e investigação avançadas de ameaças e recursos de resposta automatizados. Parte da Plataforma SecOps da Fortinet, o FortiXDR é uma solução aberta, alimentada por IA e com vários data-lake que unifica detecções de incidentes de segurança no endpoint com telemetria de uma variedade de ferramentas de segurança (nativa e de terceiros). As integrações incluem SIEM, segurança de e-mail, IAM, NDR, NGFW e segurança em nuvem.

Plataforma SecOps da Fortinet  — integra perfeitamente sensores baseados em comportamento para detectar e interromper agentes de ameaças em toda a superfície de ataque e ao longo da cadeia de destruição cibernética. O FortiEDR é uma das muitas ferramentas de segurança cibernética integradas à plataforma SecOps. A plataforma oferece investigação e remediação centralizadas, do FortiOS,  que podem ser orquestradas, automatizadas e/ou aumentadas para reduzir o risco cibernético, o custo e o esforço operacional.

Perguntas frequentes sobre detecção e resposta de endpoint

O que é EDR?

O software de segurança cibernética de detecção e resposta de endpoint (EDR) é usado pelas equipes de operações de segurança para detectar, conter, investigar e corrigir ataques cibernéticos, como ransomware e outros malwares. As ferramentas de EDR protegem hosts e endpoints conectados à rede, como telefones celulares, desktops, laptops e máquinas virtuais, para evitar a disseminação de malware.

  1. Por que a EDR é importante?
  2. Qual é a diferença entre EPP e EDR?
  3. O EDR pode substituir o antivírus?

Por que a EDR é importante?

A EDR é importante porque as ameaças, à medida que se tornam mais sofisticadas, podem penetrar na segurança de borda. Com o EDR, você pode detectar, conter e eliminar a ameaça, mesmo que ela tenha passado pelo perímetro do seu sistema.

Qual é a diferença entre EPP e EDR?

As plataformas de proteção de endpoint (EPP) são projetadas para reduzir a superfície de ataque e detectar e bloquear ataques antes que eles possam causar danos. No entanto, eles não têm a capacidade de caçar ameaças e corrigir o dano de um ataque como uma tecnologia EDR.

O EDR pode substituir o antivírus?

Embora a EDR seja projetada para funcionar lado a lado com outras medidas preventivas, como software antivírus, ela foi projetada para ser uma atualização superior.

 

Quais tipos de ameaças o EDR pode detectar e mitigar com eficácia?

Basicamente, qualquer ameaça cibernética que explore uma vulnerabilidade em um endpoint pode ser abordada por soluções de EDR. As ameaças cibernéticas mais comuns que afetam os endpoints incluem o seguinte:

  • infecções por vírus, worms e outros malwares
  • ataques de ransomware
  • ataques sem arquivo
  • explorações de dia zero
  • ameaças persistentes avançadas (apts)
  • comprometimento do endpoint
  • exfiltração de dados
  • ameaças internas
  • comunicação de comando e controle (C2)
  • phishing e roubo de credenciais
  • ataques polimórficos

Como o EDR responde às ameaças detectadas nos endpoints?

A EDR pode detectar e desativar automaticamente possíveis ameaças em tempo real, mesmo em dispositivos comprometidos. Ele segue uma resposta automatizada com detecção, contenção, investigação e remediação. Isso reduz drasticamente o tempo de permanência do malware, bem como interrompe instantaneamente as violações, evita a perda de dados e corrige danos por ransomware com recursos de reversão.

O que é EDR em segurança cibernética?

O EDR é uma solução integrada de segurança cibernética de endpoint que combina monitoramento contínuo de ameaças cibernéticas em tempo real e coleta de dados de endpoint com recursos automatizados de análise e resposta a ameaças baseados em regras.

Recursos em cibersegurança

Links Rápidos

Fale com um especialista

Preencha o formulário e um representante experiente entrará em contato com você em breve.