본문 바로가기
Security & IT terms

[Day 126] EDR(Endpoint Detection and Response)

by minimalist_2022 2020. 12. 14.

EDR(Endpoint Detection and Response)

  • 엔드포인트 탐지 및 대응(Endpoint Detection and Response, 줄여서 EDR) 또는 엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, 줄여서 ETDR)
  • 컴퓨터와 모바일, 서버 등 단말(Endpoint)에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션이다.
  • 엔드포인트에서 프로세스 생성, 레지스트리 변경, 인터넷 접속기록, 파일다운로드 등 다양한 정보를 수집한다. 수집정보는 EDR 서버로 전송, 분석된다. 이곳에서 악성 프로세스 여부를 판단한다.
  • 악성코드로 판명된 정보가 있을 경우 해당 패턴을 EDR 엔진에 업데이트한다. 사내 모든 EDR 에이전트에 적용한다. 외부 클라우드 EDR 서버에도 적용되므로 제로데이 공격과 같은 최초의 악성행위에 대응할 수 있다.
  • 패턴 업데이트 부분에서 안티바이러스와의 차이점이 있다면 안티바이러스는 패턴기반의 탐지방식을 사용하고 있으며 EDR은 행위기반을 통해 탐지한다는 점이다.

 

※ 출처

 

엔드포인트 위협탐지 및 대응 - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. 엔드포인트 탐지 및 대응(Endpoint Detection and Response, 줄여서 EDR) 또는 엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, 줄여서 ETDR)은 컴퓨터와 모바일

ko.wikipedia.org