• ASG

Detecção e resposta de ponto final


As soluções endpoint Detection and Response (EDR) são ferramentas que auxiliam na detecção e investigação de atividades suspeitas em todos os pontos finais de uma organização. As soluções EDR funcionam monitorando eventos de ponto final e armazenando as informações em um banco de dados centralizado de controladores para análise, investigação e resposta adicionais. O software do agente é instalado em pontos finais para ajudar na coleta e monitoramento de dados em tempo real de possíveis ameaças.


Além das soluções EDR serem uma ferramenta valiosa na proteção de pontos finais e outros ativos de TI, também podemos listá-lo com mais outros recursos. Primeiramente, vamos rever como as soluções EDR funcionam atualmente.

Principais características do EDR


Em termos simples, o EDR mantém uma coleta abrangente de dados sobre potenciais ataques e monitora continuamente todos os pontos finais. Os dados coletados facilitam a investigação e a resposta a incidentes pelas equipes de TI e segurança. Fornece uma visão aprofundada e compreensão das anomalias e vulnerabilidades de uma organização. Além disso, fornece visibilidade e capacidade de detectar ameaças sofisticadas de ponto final. O EDR é muito superior às ferramentas tradicionais que usam soluções baseadas em assinaturas em termos de identificação de ameaças potenciais.

Os sistemas EDR tornaram-se altamente avançados, e estão sendo projetados para serem compatíveis e integrados com outras ferramentas de segurança. Esta abordagem integrada fornece excelente segurança à rede a partir de potenciais ameaças e ataques cibernéticos.

Mas os sistemas de segurança EDR servem a um papel muito maior na segurança corporativa. O EDR não só inclui antivírus, como também contém muitas outras ferramentas de segurança para fornecer proteção abrangente contra ameaças. Ele fornece proteção melhor e mais holística do que outras opções de proteção de ponto final.

Detecção offline vs. Proteção e/ou resposta em tempo real

Ao contrário de seus primos próximos EPP (Endpoint Protection Platforms), os sistemas EDR detectam ameaças analisando dados de ponto final que ele coletou. Isso é frequentemente chamado de modo de análise offline. Normalmente, ele não bloqueia ameaças online, embora a resposta a incidentes possa ocorrer para reduzir uma ameaça depois de detectada. Um sistema EDR pode coletar os dados forenses de alta qualidade, necessários para a resposta a incidentes e a investigação para entender o escopo completo de potenciais ataques, mas a falta de detecção e proteção em tempo real pode ser um ponto fraco.

Adicionar um recurso de resposta em tempo real para soluções EDR seria muito útil para cortar um ataque em seus estágios iniciais antes que ele se torne crítico para a organização. Como podemos melhorar as capacidades do EDR para alcançar a resposta em tempo real (ou quase em tempo real)?

Impacto do processamento em tempo real

O processamento do fluxo de eventos em tempo real pode ajudar a detectar comportamentos maliciosos de forma rápida e eficiente. Assim, torna possível fazer bloqueio pós violação de comportamento malicioso, malware e outros artefatos que os métodos de proteção inline erram.

A capacidade de detectar e responder em tempo real, mesmo depois de ameaças começarem a correr, é importante. Ele pára de executar processos relacionados, impedindo que o ataque progrida. Esses blocos são reportados aos controladores EDR, permitindo que as equipes de segurança vejam detalhes do status de ameaça e remediação, e investiguem mais por ameaças semelhantes, conforme necessário.

O processamento de fluxo de eventos em tempo real é uma capacidade EDR que todo analista de segurança quer ter. Há outros, porém, como a capacidade de gravação para triagem de ameaças e investigação. Esses recursos se combinam para tornar o EDR uma ferramenta inestimável no arsenal dos analistas de segurança de TI para identificar padrões de ameaças e responder automaticamente para remover ou conter ameaças à velocidade do fio, sem intervenção da equipe.

Caso queira saber mais sobre soluções em ferramentas que auxiliam na detecção e investigação, nós podemos realizar uma apresentação e até mesmo uma demonstração da solução. Para isto basta realizar contato através do e-mail contato@asg.com.br, via telefone (51) 3533-8417, Whatsapp: (51) 99340-7861, ou então nosso site. Acompanhe a nossa página no Instagram e fique por dentro das novidades.


5 visualizações0 comentário