EDR(Endpoint Detection and Response)
- 엔드포인트 탐지 및 대응(Endpoint Detection and Response, 줄여서 EDR) 또는 엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, 줄여서 ETDR)
- 컴퓨터와 모바일, 서버 등 단말(Endpoint)에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션이다.
- 엔드포인트에서 프로세스 생성, 레지스트리 변경, 인터넷 접속기록, 파일다운로드 등 다양한 정보를 수집한다. 수집정보는 EDR 서버로 전송, 분석된다. 이곳에서 악성 프로세스 여부를 판단한다.
- 악성코드로 판명된 정보가 있을 경우 해당 패턴을 EDR 엔진에 업데이트한다. 사내 모든 EDR 에이전트에 적용한다. 외부 클라우드 EDR 서버에도 적용되므로 제로데이 공격과 같은 최초의 악성행위에 대응할 수 있다.
- 패턴 업데이트 부분에서 안티바이러스와의 차이점이 있다면 안티바이러스는 패턴기반의 탐지방식을 사용하고 있으며 EDR은 행위기반을 통해 탐지한다는 점이다.
※ 출처
'Security & IT terms' 카테고리의 다른 글
[Day 130] Zero Trust Model(제로 트러스트) (0) | 2020.12.18 |
---|---|
[Day 127] SPF, DKIM, DMARC (0) | 2020.12.15 |
[Day 125] 정보공유분석센터(Information Sharing & Analysis Center) (0) | 2020.12.13 |
[Day 88] Database Sharding (데이터베이스 샤딩) (0) | 2020.11.06 |
[Day 34] Race Condition Attack (0) | 2020.09.13 |