EDR — endpoint qurilmalardagi hodisalarni doimiy kuzatish, shubhali faoliyatni aniqlash, tahlil qilish va zarur holatda javob choralarini bajarishga mo‘ljallangan xavfsizlik platformasi. To‘liq nomi Endpoint Detection and Response. Endpoint sifatida kompyuter, server, virtual mashina, mobil qurilma yoki boshqa ishchi tizim qatnashishi mumkin.
EDR an’anaviy antivirusdan kengroq ko‘lamda ishlaydi. Antivirus ma’lum zararli fayl va signature’larni topishga yo‘naltirilgan bo‘lsa, EDR process, network, file, registry, user va memory faoliyatini o‘zaro bog‘lab kuzatadi.
Endpoint agent
EDR odatda endpointga o‘rnatilgan agent orqali telemetry yig‘adi.
Agent quyidagilarni kuzatishi mumkin:
- process yaratilishi;
- parent-child process bog‘lanishi;
- file yaratish va o‘zgartirish;
- registry yoki system configuration;
- network connection;
- user login;
- command line;
- module va driver;
- memory activity;
- removable media.
Agent ma’lumotni local qayta ishlashi yoki markaziy platformaga yuborishi mumkin.
Telemetry
EDR telemetrysi oddiy logdan ko‘ra batafsil bo‘lishi mumkin.
Masalan, bitta process hodisasi:
process nomi
parent process
command line
user
hash
imzo
vaqt
host
network aloqasi
kabi maydonlarni saqlaydi.
Bu ma’lumot attacker harakatining ketma-ketligini tiklashga yordam beradi.
Behavior detection
EDR faqat ma’lum malware hashiga tayanmaydi.
U quyidagi behaviorlarni aniqlashi mumkin:
- office documentdan script ishga tushishi;
- browser processidan shell ochilishi;
- credentialga oid processga access;
- ko‘p file shifrlanishi;
- persistence yaratilishi;
- noma’lum outbound connection;
- security service o‘chirilishi.
Behavior detection yangi yoki o‘zgartirilgan malware’ni topishga yordam beradi.
Detection rule
EDR rule yoki analytic ma’lum hodisalar kombinatsiyasini baholaydi.
Rule:
- process nomi;
- command line;
- hash;
- signer;
- registry key;
- file path;
- network destination;
- user context;
- sequence
asosida ishlashi mumkin.
Yaxshi rule faqat bitta umumiy belgiga tayanmaydi, chunki qonuniy administrator amallari ham shunga o‘xshashi mumkin.
Threat intelligence
EDR file hash, domen, IP, certificate yoki boshqa indikatorlarni threat intelligence bilan solishtirishi mumkin.
Indicator match tez signal beradi.
Biroq ma’lum indicatorlar tez o‘zgaradi.
Shu sababli behavior va context bilan birgalikda baholanadi.
Process tree
Process tree hodisalar o‘rtasidagi sababiy aloqani ko‘rsatadi.
Masalan:
email client
→ document reader
→ script engine
→ command shell
→ downloader
Bu zanjir alohida processlardan ko‘ra kuchliroq signal beradi.
Analyst qaysi file yoki user action boshlang‘ich nuqta bo‘lganini ko‘rishi mumkin.
Response imkoniyatlari
EDR quyidagi response amallarini bajarishi mumkin:
- endpointni networkdan izolyatsiya qilish;
- processni to‘xtatish;
- file’ni quarantine qilish;
- hashni bloklash;
- artifact yig‘ish;
- script yoki command ishga tushirish;
- user sessionini tekshirish;
- hostni scan qilish.
Har action platforma permissioni va tashkilot policy’siga bog‘liq.
Network isolation
Endpoint izolyatsiya qilinganda u production tarmog‘i bilan aloqa qila olmaydi.
Ko‘pincha EDR management kanali ochiq qoladi, shunda analyst host bilan ishlashda davom etadi.
Isolation ransomware yoki lateral movement tarqalishini cheklaydi.
Biroq server izolyatsiyasi business service’ni ham to‘xtatishi mumkin.
Forensic collection
EDR incident tahlili uchun:
yig‘ishi mumkin.
To‘liq forensic image har platformada avtomatik olinmasligi mumkin.
EDR tezkor investigation uchun muhim boshlang‘ich ma’lumot beradi.
Threat hunting
Analyst oldindan alert bo‘lmasa ham telemetry bo‘ylab qidiruv bajaradi.
Masalan:
- ma’lum command line;
- g‘ayrioddiy parent process;
- bir hashning barcha hostlarda uchrashi;
- yangi persistence;
- kam uchraydigan signer.
Bu proaktiv qidiruv threat hunting deb ataladi.
Retention
Endpoint telemetry katta hajm hosil qiladi.
Retention quyidagilarga bog‘liq:
- incidentni qanchalik orqaga tahlil qilish kerakligi;
- storage narxi;
- compliance;
- privacy;
- endpoint soni;
- event turi.
Qisqa retention eski intrusionning boshlanish nuqtasini topishni qiyinlashtiradi.
EDR va antivirus
Antivirus ko‘proq prevention va file detectionga yo‘naltiriladi.
EDR esa:
- chuqur telemetry;
- behavioral detection;
- investigation;
- response;
- hunting
imkoniyatlarini beradi.
Zamonaviy endpoint platformalarida antivirus va EDR bitta agent ichida birlashtirilishi mumkin.
EDR va SIEM
EDR endpointga xos ma’lumot va response beradi.
SIEM esa identity, network, cloud, application va EDR loglarini markaziy correlation qiladi.
EDR alertlari SIEMga yuborilib boshqa manbalar bilan bog‘lanishi mumkin.
Agent health
Agent ishlamay qolsa endpoint monitoringdan chiqadi.
Platforma:
ni kuzatadi.
Agentning yo‘qligi ham security hodisa sifatida qaralishi mumkin.
Tamper protection
Attacker endpointga kirgach EDR agentini to‘xtatish, service’ni o‘chirish yoki policy’ni almashtirishga urinishi mumkin. Tamper protection agent configurationi va uninstall operationini qo‘shimcha authorization bilan himoya qiladi. Agent processi ishlayotgan bo‘lsa ham telemetry yuborilishi to‘xtagan bo‘lishi mumkin, shu sababli markaziy platforma heartbeat va event hajmini alohida kuzatadi.
Endpoint containment
Bitta endpointdagi topilma boshqa qurilmalarda ham ayni hash, domain, command yoki user activity’ni qidirishga sabab bo‘ladi. Containment faqat zararli faylni o‘chirish emas, initial access, credential va lateral movement izlarini topishni ham qamrab oladi.
Policy tarqatish
Endpoint guruhlari operatsion tizim, server roli va riskiga qarab boshqa policy olishi mumkin. Production server, developer kompyuteri va kiosk uchun bir xil bloklash qoidasi qo‘llanmaydi. Policy versioni, tarqatish holati va exception muddati markaziy platformada saqlanadi.
Bog‘liq tushunchalar
Endpoint Detection and Response, Endpoint security, Antivirus, Telemetry, Process tree, Threat hunting, Incident response, SIEM, XDR, Malware detection