Endpoint Detection & Response – EDR (Hệ thống Phát hiện và phản hồi các mối nguy hại tại điểm cuối) là một bộ công cụ bảo mật không gian mạng được thiết kế để phát hiện và loại bỏ các phần mềm độc hại hoặc bất kỳ hoạt động khả nghi nào khác trên mạng.

Cách thức hoạt động của EDR:

Sử dụng một agent để theo dõi hành vi của hệ thống với các heuristic tiên tiến. EDR thường được tích hợp với Machine Learning và trí tuệ nhân tạo AI đã được đào tạo để phát hiện ra sự bất thường hoặc mô hình của việc lây nhiễm phần mềm độc hại.

Ngay từ dấu hiệu đầu tiên cho thấy một hệ thống đang bị tấn công (chẳng hạn như di chuyển, sao chép hoặc mã hóa các tệp hệ thống), phần mềm EDR sẽ lập tức hoạt động & đồng thời cảnh báo cho admin về khả năng vi phạm, ngăn phần mềm lừa đảo chạy nếu có thể và đưa hệ thống trở về trạng thái trước khi bị nhiễm/tấn công.

Giám sát (monitor) có thể nói là trai tim của EDR, mỗi yếu tố bảo mật sẽ phải kết hợp với EDR và phải hoạt động với các công cụ bảo mật khác, bao gồm giám sát email lừa đảo, firewall chặn các đoạn mã trái phép, phát hiện xâm nhập hoặc rời khỏi máy tính hoặc mạng các thông tin một cách trái phép, v.v..

Những tính năng chính của Endpoint Detection and Response

- Continuous real-time monitoring: thu thập liên tục và theo dõi các thông tin sự kiện từ các thiết bị trong thời gian thực

- Cloud-based analytics: liên tục kiểm tra các hoạt động trên thiết bị để săn lùng các hành vi đáng nghi và các mối đe dọa – từ tấn công dạng file đến tấn công dạng file-less.

- MITRE ATT&CK™ mapping: hỗ trợ các tiến trình thích hợp cho việc phát hiện từng phiên của mối đe dọa, các nguy cơ liên quan và ưu tiên phản ứng.

- Artificial intelligence guided investigation: Hướng dẫn điều tra được kết hợp dựa trên chuyên môn, kinh nghiệm của các chuyên gia phân tích mã độc hàng đầu với trí tuệ nhân tạo (AI). Những hướng dẫn điều tra này sử dụng đồng thời các tiến trình điều tra và khám phá theo nhiều giả thuyết để có thể phát hiện nhanh và chuẩn xác.

- Broad data collection and local relevancy: Bộ máy điều tra kết hợp kí tuệ nhân tạo (AI) tập hợp và xử lý các dữ liệu thu thập được để hợp thức hóa thành các cảnh báo. Các dữ liệu này được thu thập từ nhiều thiết bị, hệ thống SIEM… Giải pháp EDR so sánh các bằng chứng với các hoạt động thông thường của mỗi tổ chức/doanh nghiệp kèm theo việc đối chiếu với các kênh chia sẻ thông tin tình báo (Threat Intelligence) khác.

- Flexible data display: Người quản trị có thể lựa chọn giữa nhiều hình thức theo dõi của cùng một dữ liệu, từ việc hiển thị theo hình ảnh tới việc phân loại và hiển thị theo bảng.

- Search: Real-time search: khả năng tìm kiếm chủ động cho phép người quản trị có thể truy vấn các thông tin trong thời gian thực.

Sản phẩm có tính năng EDR của các hãng diệt virus:

• ESET PROTECT Enterprise (cloud & on premise)
• Bitdefender GravityZone Business Security Enterprise
• Roadcom (Symantec) Endpoint Security Complete
• Kaspersky Endpoint Detection & Response Optimum

Xem Thêm: Phần mềm thiết kế thời trang hàng đầu hiện nay

Tính năng Microsoft Teams giúp ngăn mọi người làm gián đoạn cuộc họp

Trên đây là thông tin về tính năng của endpoint detection & response mà chúng tôi muốn giới thiệu đến các bạn. Hy vọng qua bài viết này có thể cung cấp thông tin thật hữu ích đến với các bạn. Nếu có bất kì thắc mắc nào thì hãy liên hệ với Tri Thức Software để được tư vấn miễn phí về các phần mềm bản quyền nhé.