EDR (Endpoint Detection and Response- Uç nokta Tehdit Algılama ve Yanıt) kötü niyetli etkinlikleri tespit etmek ve incelemek için bir çözüm sınıfıdır. Görevi tipik ve büyük tehditlerle mücadele etmek olan antivirüslerden farklı olarak, EDR çözümleri hedeflenen saldırıları ve karmaşık tehditleri belirlemeye odaklanır.
EDR Mimarisi
Genel olarak, Endpoint Detection & Response sınıfı sistemi, uç noktalara ve bir sunucu tarafında kurulu aracılardan oluşur. Aracı, çalışan işlemleri, kullanıcı eylemlerini ve ağ iletişimlerini izler ve bilgileri yerel bir sunucuya veya buluta iletir.
Sunucu bileşeni, makine öğrenimi teknolojilerini kullanarak alınan verileri analiz eder, bunları uzlaşma göstergeleri (IoC) ve karmaşık tehditlerle ilgili diğer mevcut bilgilerle karşılaştırır. EDR sistemi siber olay belirtileri olan bir olay tespit ederse, güvenlik personeline bildirir.
IoC Nedir?
Tehlike Göstergesi, IoC (Indicator of compromiseanlaşmak / anlaşmaya varmak); Gözlenen ağda veya belirli bir cihaz nesnesinde (veya faaliyette) bilgisayar güvenliği alanında, bu büyük olasılıkla sisteme yetkisiz erişimi (yani tehlike meydana geldiğini) gösterir. Bu göstergeler, kötü niyetli etkinliği erken bir aşamada tespit etmek ve bilinen tehditleri önlemek için kullanılır.
Uzlaşma Göstergesi Ne Olabilir?
Aşağıdakiler bir uzlaşma göstergesi olarak hareket edebilir:
- Olağandışı DNS sorguları.
- Şüpheli dosyalar, uygulamalar ve işlemler.
- Botnet’lere veya kötü amaçlı yazılım C&C sunucularına ait IP adresleri ve etki alanları .
- Bir dosyaya önemli sayıda çağrı.
- Yönetici veya ayrıcalıklı kullanıcı hesaplarında şüpheli etkinlik.
- Beklenmeyen yazılım güncellemesi.
- Nadiren kullanılan bağlantı noktaları üzerinden veri aktarımı.
- Web sitesinde bir kişi için tipik olmayan davranış.
- İmza veya karma, kötü amaçlı yazılımın toplamıdır.
- Olağandışı boyutta HTML yanıtları.
- Yapılandırma dosyalarının, kayıtların veya cihaz ayarlarının izinsiz değiştirilmesi.
- Çok sayıda başarısız giriş denemesi.
EDR Ürünlerinin Özellikleri
- Çoğu modern EDR çözümü şunları yapabilir:
- Uç noktalardan gerçek zamanlı olarak veri toplamak,
- Daha sonra çalışmak ve araştırmak için kullanıcı eylemleri, ağ etkinliği ve çalışan programlar hakkındaki bilgileri kaydetmek ve saklamak,
- Şüpheli etkinliği tespit edip ve sınıflandırmak ve güvenlik servislerini bu konuda bilgilendirmek,
- Saldırıyı engellemek için adımlar atmak,
- şüpheli dosyaları izole etmek,
- kötü amaçlı işlemleri durdurmak,
- Ağ bağlantılarını kesmek,
- Uç nokta güvenlik çözümleri, SIEM sistemleri ve diğer güvenlik araçlarıyla entegre etmek
Uç Nokta Tespiti ve Yanıt ürünleri (EDR), bilgi güvenliği uzmanlarının proaktif bir tehdit araması (Tehdit Avı) gerçekleştirmesine, tipik olmayan davranışları ve şüpheli etkinlikleri analiz etmesine olanak tanır.