Bosh sahifa Wiki EDR

EDR

EDRendpoint qurilmalardagi hodisalarni doimiy kuzatish, shubhali faoliyatni aniqlash, tahlil qilish va zarur holatda javob choralarini bajarishga mo‘ljallangan xavfsizlik platformasi. To‘liq nomi Endpoint Detection and Response. Endpoint sifatida kompyuter, server, virtual mashina, mobil qurilma yoki boshqa ishchi tizim qatnashishi mumkin.

EDR an’anaviy antivirusdan kengroq ko‘lamda ishlaydi. Antivirus ma’lum zararli fayl va signature’larni topishga yo‘naltirilgan bo‘lsa, EDR process, network, file, registry, user va memory faoliyatini o‘zaro bog‘lab kuzatadi.

Endpoint agent

EDR odatda endpointga o‘rnatilgan agent orqali telemetry yig‘adi.

Agent quyidagilarni kuzatishi mumkin:

Agent ma’lumotni local qayta ishlashi yoki markaziy platformaga yuborishi mumkin.

Telemetry

EDR telemetrysi oddiy logdan ko‘ra batafsil bo‘lishi mumkin.

Masalan, bitta process hodisasi:

process nomi
parent process
command line
user
hash
imzo
vaqt
host
network aloqasi

kabi maydonlarni saqlaydi.

Bu ma’lumot attacker harakatining ketma-ketligini tiklashga yordam beradi.

Behavior detection

EDR faqat ma’lum malware hashiga tayanmaydi.

U quyidagi behaviorlarni aniqlashi mumkin:

  • office documentdan script ishga tushishi;
  • browser processidan shell ochilishi;
  • credentialga oid processga access;
  • ko‘p file shifrlanishi;
  • persistence yaratilishi;
  • noma’lum outbound connection;
  • security service o‘chirilishi.

Behavior detection yangi yoki o‘zgartirilgan malware’ni topishga yordam beradi.

Detection rule

EDR rule yoki analytic ma’lum hodisalar kombinatsiyasini baholaydi.

Rule:

asosida ishlashi mumkin.

Yaxshi rule faqat bitta umumiy belgiga tayanmaydi, chunki qonuniy administrator amallari ham shunga o‘xshashi mumkin.

Threat intelligence

EDR file hash, domen, IP, certificate yoki boshqa indikatorlarni threat intelligence bilan solishtirishi mumkin.

Indicator match tez signal beradi.

Biroq ma’lum indicatorlar tez o‘zgaradi.

Shu sababli behavior va context bilan birgalikda baholanadi.

Process tree

Process tree hodisalar o‘rtasidagi sababiy aloqani ko‘rsatadi.

Masalan:

email client
→ document reader
→ script engine
→ command shell
→ downloader

Bu zanjir alohida processlardan ko‘ra kuchliroq signal beradi.

Analyst qaysi file yoki user action boshlang‘ich nuqta bo‘lganini ko‘rishi mumkin.

Response imkoniyatlari

EDR quyidagi response amallarini bajarishi mumkin:

  • endpointni networkdan izolyatsiya qilish;
  • processni to‘xtatish;
  • file’ni quarantine qilish;
  • hashni bloklash;
  • artifact yig‘ish;
  • script yoki command ishga tushirish;
  • user sessionini tekshirish;
  • hostni scan qilish.

Har action platforma permissioni va tashkilot policy’siga bog‘liq.

Network isolation

Endpoint izolyatsiya qilinganda u production tarmog‘i bilan aloqa qila olmaydi.

Ko‘pincha EDR management kanali ochiq qoladi, shunda analyst host bilan ishlashda davom etadi.

Isolation ransomware yoki lateral movement tarqalishini cheklaydi.

Biroq server izolyatsiyasi business service’ni ham to‘xtatishi mumkin.

Forensic collection

EDR incident tahlili uchun:

yig‘ishi mumkin.

To‘liq forensic image har platformada avtomatik olinmasligi mumkin.

EDR tezkor investigation uchun muhim boshlang‘ich ma’lumot beradi.

Threat hunting

Analyst oldindan alert bo‘lmasa ham telemetry bo‘ylab qidiruv bajaradi.

Masalan:

  • ma’lum command line;
  • g‘ayrioddiy parent process;
  • bir hashning barcha hostlarda uchrashi;
  • yangi persistence;
  • kam uchraydigan signer.

Bu proaktiv qidiruv threat hunting deb ataladi.

Retention

Endpoint telemetry katta hajm hosil qiladi.

Retention quyidagilarga bog‘liq:

  • incidentni qanchalik orqaga tahlil qilish kerakligi;
  • storage narxi;
  • compliance;
  • privacy;
  • endpoint soni;
  • event turi.

Qisqa retention eski intrusionning boshlanish nuqtasini topishni qiyinlashtiradi.

EDR va antivirus

Antivirus ko‘proq prevention va file detectionga yo‘naltiriladi.

EDR esa:

  • chuqur telemetry;
  • behavioral detection;
  • investigation;
  • response;
  • hunting

imkoniyatlarini beradi.

Zamonaviy endpoint platformalarida antivirus va EDR bitta agent ichida birlashtirilishi mumkin.

EDR va SIEM

EDR endpointga xos ma’lumot va response beradi.

SIEM esa identity, network, cloud, application va EDR loglarini markaziy correlation qiladi.

EDR alertlari SIEMga yuborilib boshqa manbalar bilan bog‘lanishi mumkin.

Agent health

Agent ishlamay qolsa endpoint monitoringdan chiqadi.

Platforma:

ni kuzatadi.

Agentning yo‘qligi ham security hodisa sifatida qaralishi mumkin.

Tamper protection

Attacker endpointga kirgach EDR agentini to‘xtatish, service’ni o‘chirish yoki policy’ni almashtirishga urinishi mumkin. Tamper protection agent configurationi va uninstall operationini qo‘shimcha authorization bilan himoya qiladi. Agent processi ishlayotgan bo‘lsa ham telemetry yuborilishi to‘xtagan bo‘lishi mumkin, shu sababli markaziy platforma heartbeat va event hajmini alohida kuzatadi.

Endpoint containment

Bitta endpointdagi topilma boshqa qurilmalarda ham ayni hash, domain, command yoki user activity’ni qidirishga sabab bo‘ladi. Containment faqat zararli faylni o‘chirish emas, initial access, credential va lateral movement izlarini topishni ham qamrab oladi.

Policy tarqatish

Endpoint guruhlari operatsion tizim, server roli va riskiga qarab boshqa policy olishi mumkin. Production server, developer kompyuteri va kiosk uchun bir xil bloklash qoidasi qo‘llanmaydi. Policy versioni, tarqatish holati va exception muddati markaziy platformada saqlanadi.

Bog‘liq tushunchalar

Endpoint Detection and Response, Endpoint security, Antivirus, Telemetry, Process tree, Threat hunting, Incident response, SIEM, XDR, Malware detection