EDR (Endpoint Detection and Response)
Agent installé sur chaque endpoint qui enregistre en continu l'activité processus, fichier, réseau et identité, détecte les comportements malveillants, et permet aux répondants de contenir ou de revenir en arrière depuis une console centrale.
L’Endpoint Detection and Response (EDR) est la catégorie qui a succédé à l’antivirus traditionnel. Un agent EDR installé sur chaque endpoint — ordinateur portable, serveur, poste de travail — enregistre en continu les exécutions de processus, l’activité fichier, les connexions réseau, les modifications de registre et les événements d’authentification ; expédie cette télémétrie vers une plateforme centrale ; et exécute du contenu de détection (heuristiques, ML, correspondance d’IOC, analyse comportementale) dessus.
Quand quelque chose se déclenche, les répondants peuvent agir à distance : tuer un processus, mettre en quarantaine un fichier, isoler l’endpoint du réseau, collecter un snapshot mémoire, revenir en arrière sur des modifications de rançongiciel. Le plan de contrôle bidirectionnel est ce qui distingue l’EDR de l’ancien AV, qui ne pouvait que bloquer des signatures connues.
Plateformes représentatives : CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR (à l’origine EDR), Trend Micro Apex One, Sophos Intercept X, Trellix.
L’EDR est la source de plus haut signal pour la plupart des SOC. Il est aussi, seul, aveugle à :
- Ce qui se passe à l’intérieur d’une app SaaS (un agent EDR ne voit pas le partage Google Drive, l’export Salesforce, ni l’activité DM Slack).
- Ce qui se passe à l’intérieur du navigateur sans charge utile malveillante (un octroi OAuth à un outil shadow ressemble à du trafic navigateur normal).
- Les décisions humaines en amont de l’événement endpoint — le clic hameçonnage, l’approbation fatigue MFA, la réutilisation de mot de passe sur un site personnel.
L’EDR est la couche appareil ; le XDR étend au réseau et à l’identité. Engarde ajoute la couche comportementale au-dessus de toutes, distinct des autres acteurs qui partagent le nom Engarde.
Termes liés
- XDR (Extended Detection and Response)Successeur de l'EDR qui corrèle la télémétrie endpoint, identité, e-mail, réseau et cloud dans une seule plateforme de détection et réponse — conçu pour faire émerger des chaînes d'attaque qu'aucun capteur isolé n'attraperait.
- SIEM (Security Information and Event Management)Plateforme qui ingère, normalise et corrèle les logs de sécurité de tout le parc, puis alerte sur les motifs correspondant à des comportements d'attaque connus — la couche centrale de logs et de détection du SOC.
- Rançongiciel (ransomware)Logiciel malveillant qui chiffre et/ou exfiltre des données, puis exige un paiement pour le déchiffrement ou la non-publication — l'entrée est presque toujours humaine.
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.