This is the Trace Id: 1342603718c69739de1347461801c2b9
Gå till huvudinnehåll
Microsoft Security

Vad är identifiering och åtgärd på slutpunkt?

Utforska hur EDR-teknik hjälper organisationer att skydda mot allvarliga cyberhot som utpressningstrojaner.

Upptäck Microsoft Defender för Endpoint

Definition av EDR

EDR är en cybersäkerhetsteknik som kontinuerligt övervakar slutpunkter efter hot och utför automatiska åtgärder för att minimera dem. Slutpunktslutpunkter—de många fysiska enheter som är anslutna till ett nätverk, till exempel mobiltelefoner, stationära datorer, bärbara datorer, virtuella datorer och Sakernas Internet-teknik—(IoT) ger skadliga aktörer flera startpunkter för en attack mot en organisation. EDR-lösningar hjälper säkerhetsanalytiker att identifiera och åtgärda hot på slutpunkter innan de kan spridas i hela nätverket.

EDR-säkerhetslösningar loggar beteenden på slutpunkter dygnet runt. De analyserar kontinuerligt dessa data för att avslöja misstänkt aktivitet som kan tyda på hot som utpressningstrojaner. Den kan också utföra automatiska åtgärder för att innehålla hot och aviseringssäkerhetspersonal, som sedan använder registrerade data för att undersöka exakt hur intrånget inträffade, vad det har påverkat och vad som behöver göras härnäst.

EDR:s roll inom cybersäkerhet

För organisationer som arbetar för att hålla sig säkra från en cyberattackrepresenterar EDR ett steg upp från antivirusteknik. Ett antivirusprogram är utformat för att hindra skadliga aktörer från att komma in i ett system genom att söka efter kända hot från en databas och vidta automatiska karantänåtgärder om någon av dem identifieras. Plattform för slutpunktsskydd (EPPs) är den första försvarslinjen, inklusive avancerat antivirus- och skydd mot skadlig kod, och en EDR ger ytterligare skydd om en överträdelse inträffar genom att aktivera identifiering och reparation.

EDR har möjlighet att söka efter ännu okända hot som kommer förbi perimetern genom att identifiera och analysera misstänkta beteenden, även kallat Angreppsindikatorer (IOCs).

EDR ger säkerhetsteam den synlighet och automatisering de behöver för att påskynda svar på incident och förhindra att attacker på slutpunkter sprids. De är vana vid det:

  • Övervaka slutpunkter och håll en fullständig förteckning över aktiviteter för att identifiera misstänkt aktivitet i realtid.
  • Analysera dessa data för att avgöra om hot motiverar undersökning och reparation.
  • Generera prioriterade aviseringar för ditt säkerhetsteam så att de vet vad som måste åtgärdas först.
  • Ge insyn i och kontext för den fullständiga historiken och omfattningen av ett intrång för att hjälpa säkerhetsteamen att undersöka.
  • Innehåller eller åtgärdar hotet automatiskt innan det kan spridas.

Hur fungerar EDR?

EDR-tekniken kan variera mellan olika leverantörer, men de fungerar på ungefär samma sätt. En EDR-lösning:

  1. Övervakar slutpunkter kontinuerligt. När dina enheter registreras installerar EDR-lösningen en programvaruagent på var och en av dem för att säkerställa att hela det digitala ekosystemet är synligt för säkerhetsteamen. Enheter med agenten installerad kallas hanterade enheter. Den här programvaruagenten loggar kontinuerligt relevant aktivitet på varje hanterad enhet.
  2. Aggregerar telemetridata. Data som matas in från varje enhet skickas tillbaka från agenten till EDR-lösningen, som kan finnas i molnet eller lokalt. Händelseloggar, autentiseringsförsök, programanvändning och annan information görs synliga för säkerhetsteam i realtid.
  3. Analyserar och korrelerar data. EDR-lösningen upptäcker IOC:er som annars skulle vara lätta att missa. EDR använder vanligtvis AI och maskininlärning för att tillämpa beteendeanalys baserat på global hotinformation för att hjälpa ditt team att förhindra avancerade taktiker som används mot din organisation.
  4. Surfaces misstänkte hot och vidtar automatiska åtgärder. EDR-lösningen flaggar en potentiell attack och skickar en åtgärdsbar avisering till ditt säkerhetsteam så att de kan svara snabbt. Beroende på utlösaren kan EDR-systemet också isolera en slutpunkt eller på annat sätt innehålla hotet för att förhindra att den sprids medan incidenten undersöks.
  5. Lagrar data för framtida användning. EDR-teknik håller ett forensiskt register över tidigare händelser för att informera framtida undersökningar. Säkerhetsanalytiker kan använda detta för att konsolidera händelser eller för att få en helhetsbild om en långvarig eller tidigare oupptäckt attack.

Viktiga funktioner och egenskaper för EDR

En omfattande EDR-lösning kan ge säkerhetsteamet distinkta fördelar som gör att de kan skydda arbetsdata mer effektivt. Det gör att de kan:

eliminera döda vinklar

Med EDR kan säkerhetsteam få enhetlig synlighet och hantering av befintliga slutpunkter och identifiera ohanterade slutpunkter som är anslutna till ditt nätverk som kan introducera onödiga vanliga sårbarheter och exponeringar (CVE). De kan också använda den för att minska angreppsytor genom att flagga sårbarheter och felkonfigurationer.

Använd nästa generations undersökningsverktyg

EDR-lösningar fungerar tillsammans med ditt säkerhetsteam för att prioritera de allvarligaste potentiella hoten, validera dem och utföra sorteringsåtgärder på några minuter.

 

Blockera de mest sofistikerade angreppen

EDR-lösningar hjälper säkerhetsteam att hitta sofistikerade hot som utpressningstrojaner som kontinuerligt flyttar beteenden till identifiering av rensning. Det är effektivt mot både filbaserade och fillösa attacker.

Åtgärda hot snabbare

Säkerhetsteam kan minska tiden det tar att svara på hot med EDR-verktyg som automatiskt innehåller en attack, initierar undersökningar och använder AI för cybersäkerhet för att tillämpa bästa praxis och fastställa nästa steg.

Jaga hot proaktivt

EDR-lösningar använder omfattande beteendeanalyser för att tillhandahålla djup hotövervakning, vilket hjälper team att analysera attacker vid första tipset om misstänkt beteende.

Integrera identifiering och svar med SIEM

Många EDR-säkerhetslösningar integreras sömlöst med befintliga produkter och andra verktyg för säkerhetsinformation och händelsehantering (SIEM) i din säkerhetsteamsstack.

Varför är EDR viktigt?

EDR-säkerhetslösningar ger ett viktigt skydd för moderna organisationer. Endast lösningar för antivirus och program mot skadlig kod kan inte förhindra 100 procent av de attacker som sannolikt kommer att riktas mot ditt nätverk. Cyberbrottslingar utvecklar ständigt de taktiker som de använder för att kringgå perimeterskydd, och vissa kommer att gå förbi dem. Säkerhetsteam behöver robusta verktyg för att hitta den lilla procentandelen hot som kan komma förbi perimetern och orsaka betydande skador och dataförluster.

Hot som distribuerade överbelastningsattacker (DDoS) attacker, Nätfiskenätfiskeoch utpressningstrojaner kan vara skadliga för en organisations verksamhet och kosta mycket pengar att åtgärda. Cyberbrottslingarna får allt större resurser och blir allt mer motiverade. Att infiltrera system är en framgångsrik verksamhet för dem, och de investerar i avancerad teknik för att göra sina attacker mer framgångsrika. I den takt som cyberhoten utvecklas är det ekonomiskt lönsamt för organisationer att förbättra sina säkerhetsrutiner för att vara proaktiva och investera i teknik som kan hantera moderna hot.

EDR har blivit särskilt viktigt i takt med att fler organisationer använder fjärr- och hybridarbetsmönster. När anställda ansluter till nätverk från geografiskt spridda bärbara datorer, datorer och mobiltelefoner har säkerhetsteam större attackytor att försvara. EDR-lösningar ger dem möjlighet att övervaka och analysera data från dessa slutpunkter i realtid.

EDR’:s påverkan på incidenthantering

EDR-säkerhetslösningar kan hjälpa ditt team att skapa effektivitet i varje fas i sina incidenthanteringsplaner. Förutom att ge team möjlighet att identifiera hot som annars kan förbli osynliga kan de förvänta sig att EDR-funktioner minskar manuella och omständliga uppgifter som är associerade med de senare faserna i livscykeln för incidenthantering:

Inneslutning, radering och återställning. Realtidssynlighet och automatisering av EDR-lösningar hjälper ditt team att snabbt isolera infekterade slutpunkter, blockera trafik till och från skadliga IP-adresser och börja vidta nästa steg för att minimera hotet. EDR-avbildningsverktygen samlar kontinuerligt in slutpunkter, vilket gör det enklare att återställa till ett tidigare oinfekterat tillstånd vid behov.

Analys efter händelsen. EDR för tekniska data innehåller information om slutpunktsaktiviteter, nätverksanslutningar, användaråtgärder och filändringar som kan hjälpa dina analytiker att göra en rotorsaksanalys som identifierar ursprunget för en händelse. Det påskyndar också processen med att analysera och rapportera vad som fungerade bra och vad som inte fungerade, så att de kan förberedas bättre för nästa gång.

EDR och hotjakt

Proaktiv cyberhotsjakt är en säkerhetsövning analytiker gör för att söka efter okända hot i sina nätverk. EDR-lösningar stöder detta genom att undersöka tekniska data som kan hjälpa dina analytiker att avgöra vilka IOC:er som ska riktas, till exempel specifika filer, konfigurationer eller misstänkta beteenden. I ett cyberhotlandskap där skadliga aktörer ofta befinner sig i en miljö som inte har identifierats i månader är hotjakt ett värdefullt sätt att stärka din säkerhetsstatus och uppfylla efterlevnadskraven.

Vissa EDR-lösningar gör att dina analytiker kan skapa anpassade regler för riktad hotidentifiering. Med de här reglerna kan du proaktivt övervaka olika händelser och systemtillstånd, inklusive misstänkt intrångsaktivitet och felkonfigurerade slutpunkter. De kan ställas in att köras med jämna mellanrum, generera aviseringar och vidta svarsåtgärder när det finns matchningar.

Gör EDR till en del av din säkerhetsstrategi

Om du överväger att lägga till EDR-säkerhetsfunktioner i ditt försvar är det viktigt att välja en lösning som integreras sömlöst med dina befintliga verktyg och förenklar säkerhetsstacken i stället för att göra den mer komplex. Det är också viktigt att välja en EDR-lösning som använder avancerad AI så att den kan lära sig av tidigare incidenter och automatiskt hantera liknande för att minska teamets arbetsbelastning.

Ge säkerhetsteamet möjlighet att bli mer effektiva och utmana angripare med Microsoft Defender för Endpoint. Defender för Endpoint kan hjälpa dig att utveckla din säkerhetsstrategi för att skydda mot sofistikerade hot i hela företaget med flera plattformar.

Mer information om Microsoft Security

Microsoft Defender XDR

Få synlighet på incidentnivå i hela attackkedjan för automatiskt avbrott av sofistikerade attacker och snabbare åtgärder.

Mer information

Microsoft Defender – hantering av säkerhetsrisker

Stäng luckor och minska risken med kontinuerlig utvärdering av säkerhetsrisker och åtgärdande.

Mer information

Microsoft Defender för företag

Skydda ditt små till medelstora företag mot moderna hot som kringgår traditionella antiviruslösningar.

Mer information

Integrerat hotskydd

Skydda din digitala egendom i flera moln mot attacker med en enhetlig XDR- och SIEM-lösning.

Mer information

Microsoft Defender for IoT

Få tillgångsidentifiering i realtid, hantera sårbarheter och skydda din infrastruktur för IoT (Sakernas Internet) och industriell infrastruktur mot hot.

Mer information

Vanliga frågor och svar

  • EDR är inte bara antivirusteknik. Ett antivirusprogram är utformat för att hindra skadliga aktörer från att komma in i ett system genom att söka efter kända hot från en databas och vidta automatiska karantänåtgärder om det upptäcker ett hot. EDR ger ännu starkare skydd eftersom det har möjlighet att söka efter ännu okända hot genom att analysera misstänkta beteenden.

  • EDR står för slutpunktsidentifiering och svar, och i verksamheten är det ett viktigt verktyg för att säkerställa att cyberbrottslingar inte kan använda anställdas bärbara datorer, stationära datorer och mobila enheter för att infiltrera arbetsdata och infrastruktur. EDR ger säkerhetsteam insyn i alla slutpunkter som är anslutna till ett nätverk och tillhandahåller robusta verktyg som hjälper dem att analysera hotsignaler och identifiera hot.

  • EDR fungerar genom att kontinuerligt övervaka slutpunkter som är anslutna till ett nätverk och inspelningsbeteenden så att säkerhetsteam kan skydda en organisation mot hot på ett effektivare sätt. En EDR aggregerar telemetridata centralt och analyserar och korrelerar dem sedan mot potentiella hot. Den vidtar också automatiska reparationsåtgärder om det behövs och tillhandahåller en teknisk arkivering av attacker för att göra undersökningar snabbare.

  • Microsoft Defender för Endpoint är en företags-EDR som utformats för att hjälpa organisationer att förhindra, identifiera, undersöka och svara på avancerade hot. Den integreras med många andra Microsoft-lösningar för att tillhandahålla holistisk, förstklassig säkerhet.

  • XDR är en naturlig utveckling av EDR. XDR utökar EDR-omfånget och erbjuder optimerad identifiering och svar i ett bredare utbud av produkter, från nätverk och servrar till molnbaserade program och slutpunkter. Med XDR får du flexibilitet och integration för företagets befintliga produkter och verktyg för säkerhet.

Följ Microsoft 365