EDR est l'abréviation de Endpoint Detection and Response (détection et réponse des points d'extrémité). Parfois, tu entendras aussi Endpoint Threat Detection and Response (ETDR). EDR est une solution intégrée de sécurité des points d'extrémité qui combine la surveillance en temps réel et la collecte de données sur les points d'extrémité avec des capacités de réponse et d'analyse automatisées basées sur des règles.
Elle identifie les comportements suspects et les menaces sur les endpoints d'un environnement et alerte les administrateurs en conséquence. En examinant le cycle de vie complet d'une menace, tu comprendras ce qui s'est passé, comment elle est entrée, où elle est allée, ce qu'elle fait et comment l'arrêter. En contenant la menace au niveau du point de terminaison, les solutions EDR aident à éliminer la menace et à empêcher sa propagation.
Fonctions clés d'une solution d'EDR
Ce qu'il te faut dans une solution EDR dépend des besoins de ton organisation. Mais elle doit toujours apporter une valeur ajoutée à ton équipe de sécurité sans épuiser les ressources. Les fonctions importantes de la détection et de la réponse aux points de terminaison sont :
- Renseignements et aperçus sur les menaces
- Précision et rapidité de détection pour découvrir les attaquants
- Remédiation rapide et décisive
- Visibilité en temps réel et historique
- Détection et corrélation des comportements malveillants alimentées par l'IA/ML
Quels sont les avantages d'une solution d'EDR ?
La visibilité est l'un des principaux mots-clés des solutions EDR. Ces outils offrent une visibilité à la fois profonde et large des menaces et ils utilisent des outils d'apprentissage automatique pour détecter les attaques.
Grâce au riche niveau de détails collectés par une solution EDR, les activités de réponse et de remédiation après une brèche peuvent être simplifiées. Auparavant, il fallait beaucoup de temps au responsable de l'intervention en cas d'incident pour collecter les données de divers terminaux. Mais avec l'EDR, les données sont automatiquement collectées et stockées. Cela donnera au répondant une image plus complète d'un incident de sécurité que celle dont il disposerait autrement.
Les EDR ne fonctionnent pas sur la base d'une liste de virus connus. Il recherche activement les comportements suspects dans ton réseau. L'outil ne réagit pas au comportement normal d'un utilisateur, mais prend des mesures lorsqu'un comportement suspect est repéré. Lorsqu'une attaque est découverte et empêchée, un EDR partage les détails de cette attaque avec les autres points finaux de ton réseau. Ces points finaux seront immunisés contre cette attaque.