Les EDR (Endpoint Detection and Response) collectent et analysent des informations relatives aux menaces de sécurité touchant postes de travail et serveurs d’un système d’information, dans le but de détecter les violations de sécurité dès qu’elles surviennent et de faciliter une réponse rapide. Le terme « détection et réponse sur les endpoints » décrit les capacités générales d’un ensemble d’outils, dont les détails et les fonctionnalités peuvent varier considérablement selon les implémentations.
Une implémentation d’EDR peut être :
- Un outil dédié
- Une petite partie d’un outil de surveillance de la sécurité plus vaste
- Une collection d’outils utilisés ensemble pour accomplir ces fonctions.
Alors que les attaquants améliorent continuellement leurs méthodes et capacités, les systèmes de protection traditionnels peuvent être insuffisants. L’EDR combine l’analyse des données et du comportement, ce qui les rend efficaces contre les menaces émergentes et les attaques en cours, telles que :
- Les malwares nouveaux
- Les chaînes d’exploitation émergentes
- Les ransomwares
- Les menaces persistantes avancées (APT).