48 3052-8500

¿Cómo funciona el EDR? - OSTEC | Segurança digital de resultados

Aprendizaje y descubrimiento 3min de Leitura - 29 de octubre de 2021

¿Cómo funciona el EDR?

funcionamento edr

This post is also available in: Português Español

Para entender el funcionamiento del EDR, es importante primero hablar de su concepto y sus diferencias en relación a los antivirus tradicionales. EDR significa: Detección y Respuesta de Endpoints, que son los dispositivos finales que se conectan a la red de una empresa – como servidores, laptops, desktops, tablets y celulares.

Los sistemas EDRs se destacan por su proactividad contra posibles amenazas, dando secuencia a medidas para neutralizar fallas y evitar daños más grandes. Por lo tanto, poseen una postura activa y preventiva de seguridad, pues fueron diseñados para usar múltiples técnicas de seguridad, incluyendo inteligencia artificial y machine learning.

Por otro lado, los antivirus tradicionales no reaccionan a los problemas de forma automática, tampoco son capaces de actuar en base a comportamientos. Por padrón, los antivirus solo reportan el incidente al usuario y esperan que la persona tome acción. Además, los antivirus deben ser actualizados para mantener su efectividad, y aunque estas actualizaciones se hagan automáticamente, los intervalos entre las actualizaciones pueden dejar las puertas abiertas a posibles infecciones.

Funcionamiento

El objetivo de EDRs es darle a la empresa una visibilidad completa sobre los endpoints, lo que se hace a través de la recolección de datos de tales terminales. Los datos capturados son usados para detectar y responder las amenazas potenciales, usando la tecnología para identificar patrones. Durante el proceso, puede reconocer, por ejemplo, que determinadas condiciones juntas representan un peligro para el sistema, y actúa para evitar que esas mesmas condiciones establezcan conexión en el futuro. Tal información es procesada en la central de EDR, que va a monitorear la situación en todos los endpoints.

Las empresas utilizarán la plataforma para protegerse de crackers cuando accedan a equipos del usuario final – un computador operado por un trabajador, por ejemplo. De esa manera, el EDR permite que la empresa monitoree continuamente endpoints para identificar comportamientos maliciosos.

Por ende, el EDR funciona a partir de la instalación de un agente en el endpoint, que es usado para monitorear los eventos de red constantemente – que son registrados en una base de datos central. Las herramientas del EDR podrían analizar los datos para investigar un incidente pasado, o usar los datos para buscar amenazas semejantes. Si se consigue algo sospechoso, la herramienta puede alertar al usuario y además ofrecer una plataforma de gerenciamiento, para facilitar la gestión de los endpoints y de la solución.

Antes de eso, existe un despliegue de agente único en el endpoint, que actuará sobre el monitoreo constante de los eventos de la red. Por consiguiente, todos esos eventos son registrados en una base de datos centralizada, y se crea un gran conjunto de informes.

A partir de allí EDR analiza cada dato recolectado y verifica vulnerabilidades posibles o eventos sospechosos – sea que se traten de incidentes parecidos a alguno que ya ocurrió o amenazas nuevas.

En caso que un problema sea identificado, el EDR emite un alerta al usuario final, accionando correcciones para impedir que el sistema sufra consecuencias mayores. Las funciones de las soluciones EDR, pueden variar de acuerdo con el fabricante, a continuación enumeramos algunos:

  • Detección de amenazas avanzadas
  • Corrección anticipada de fallas
  • Monitoreo online y offline de endpoints sin interrupción
  • Creación de registros de eventos e incidentes de malwares en endpoints
  • Respuestas en tiempo real
  • Información unificada de endpoints
  • Creación de whitelists y blacklists, con eventos preautorizados o pre reprobados

El funcionamiento de EDR también incluye beneficios como:

  • Amplia visión de los ambientes de TI, pues permite gerenciar las estaciones de trabajo simultáneamente en un único panel de control.
  • Generación de alertas e informes con soporte a diversos sistemas operacionales
  • Recursos anti-phishing y anti-malware en actualización continua
  • Integración con otras soluciones de seguridad, inclusive pre-existentes, asegurando un control más eficaz y mejorado de las herramientas de protección – lo que también facilita la implementación

Todas esas características refuerzan el hecho de que el EDR encara la prevención como el mejor camino para asegurar una protección efectiva en diversos sistemas y operaciones. Y lo hace por medio de un monitoreo continuo y al vivo, gerenciando endpoints de forma adaptable, dinámica y confiable – todo para evitar que los datos más sensibles y privados de las empresas estén en riesgo.

This post is also available in: Português Español

¿Qué es SOAR?

Postagem anterior