Aprendizado e descoberta 3min de Leitura - 13 de outubro de 2021

Como funciona o EDR?

funcionamento edr

This post is also available in: Português

Para entender o funcionamento do EDR, é importante primeiro delinear o seu conceito e suas diferenças em relação aos antivírus convencionais. EDR significa Detecção e Resposta para Endpoints, que são os dispositivos finais que se conectam à rede de uma empresa – como servidores, laptops, desktops, tablets e celulares.

Os sistemas EDRs se destacam pela sua pró-atividade contra possíveis ameaças, dando sequência a medidas adequadas para neutralizar falhas e evitar maiores danos. Assim, possuem uma postura ativa e preventiva de segurança, pois foram projetados para usar múltiplas técnicas de segurança, incluindo inteligência artificial e aprendizagem de máquina (learning machine).

Já os antivírus convencionais não reagem aos problemas automaticamente, ou são capazes de tomar ações com base em comportamentos. Por padrão, os antivírus apenas reportam o incidente ao usuário e esperam dele uma ação. Além disso, os antivírus precisam ser atualizados para manutenção de sua efetividade e mesmo que estas atualizações sejam feitas automaticamente, os intervalos entre as atualizações podem abrir brechas para possíveis infecções.

Funcionamento

O objetivo do EDR é fornecer para a empresa uma completa visibilidade sobre os endpoints, algo que é feito através da coleta de dados desses mesmos terminais. Assim, os dados capturados são usados para detectar e responder a potenciais ameaças, usando a tecnologia para identificar padrões. Nesse processo, pode reconhecer que – por exemplo – determinadas condições juntas representam um perigo para o sistema, e então age para evitar que essas mesmas condições estabeleçam conexões no futuro. Tal informação é processada na central do EDR, que vai monitorar a situação em todos os endpoints.

Uma empresa então irá utilizar a plataforma para se proteger contra crackers quando eles acessarem os equipamentos do usuário final – um computador operado por um funcionário, por exemplo. Então, o EDR permite que a empresa monitore continuamente endpoints para identificar comportamentos maliciosos.

Nesse contexto, o EDR funciona a partir da instalação de um agente no endpoint, que é usado para monitorar os eventos de rede constantemente – que são registrados em uma base de dados central. As ferramentas do EDR podem assim analisar os dados para investigar um incidente passado, ou usar os dados para buscar por ameaças semelhantes. Se algo suspeito é encontrado, a ferramenta pode alertar o usuário e também fornecer um console de gerenciamento, que pode ser usado para facilitar a gestão dos endpoints e da solução.

Antes disso, há a implantação de um único agente no endpoint, que vai atuar no rastreamento constante dos eventos da rede. Assim, todos esses eventos são registrados em uma base de dados centralizada, criando então um grande conjunto de relatórios.

É a partir daí que os recursos do EDR analisam cada dado coletado para verificar possíveis vulnerabilidades ou eventos suspeitos – sejam eles similares a incidentes que já ocorreram ou ameaças inéditas.

Caso um problema seja identificado, o EDR emite um alerta para o usuário final, acionando correções para impedir que o sistema sofra maiores consequências. Os recursos das soluções EDR, podem variar de acordo com o fabricante e alguns destes foram elencados abaixo.

  • Detecção de ameaças avançadas
  • Correção antecipada de falhas
  • Monitoramento online e offline de endpoints sem interrupção
  • Criação de registros de eventos e incidentes de malwares nos endpoints
  • Respostas em tempo real
  • Unificação das informações dos endpoints
  • Criação de whitelists e blacklists, com eventos pré-autorizados ou pré-reprovados

O funcionamento do EDR também inclui benefícios como:

  • Ampla visualização dos ambientes de TI, pois permite gerenciar as estações de trabalho simultaneamente em um único painel de controle.
  • Geração de alertas e relatórios com suporte a diversos sistemas operacionais
  • Recursos anti-phishing e anti-malware em constante atualização
  • Integração com outras soluções de segurança, inclusive pré-existentes, assegurando um controle mais eficaz e aprimorado das ferramentas de proteção – o que também facilita a implementação

Todas essas características reforçam o fato de que o EDR encara a prevenção como o melhor caminho para assegurar uma proteção efetiva em diversos sistemas e operações. E faz isso por meio do monitoramento contínuo e em tempo real, gerenciando endpoints de forma adaptável, dinâmica e confiável – tudo para evitar que os dados mais sensíveis e sigilosos das empresas estejam em risco.

This post is also available in: Português