Se centra en los endpoints, que pueden ser cualquier sistema informático de una red, como estaciones de trabajo de usuarios finales o servidores (físicos como virtuales). Las soluciones de seguridad ofrecen visibilidad en tiempo real y detección y respuesta proactivas. Lo logran a través de diversos métodos, como los siguientes:
– Recopilar datos de los endpoints. Los datos se generan a nivel de los endpoints, incluidas las comunicaciones, la ejecución de procesos y los inicios de sesión de losusuarios. Estos datos son anónimos.
– Enviar datos a la plataforma EDR. Los datos se envían desde todos los endpoints a una ubicación central, que suele ser una
plataforma EDR-XDR basada en la nube.
– Analizar los datos. La solución usa el aprendizaje automático para analizar los datos y realizar un análisis del comportamiento. La información se usa para establecer una línea de base de la actividad normal, de modo que se puedan identificar las anomalías que representan una actividad sospechosa. La tecnología compara la actividad de la red y de los endpoints con estos ejemplos para detectar ataques.
– Marcar la actividad sospechosa y determinar cómo responder. La solución marca la actividad sospechosa y envía alertas a los equipos de seguridad y a las partes interesadas. También inicia respuestas automatizadas en función de desencadenantes predeterminados. Un ejemplo de esto podría ser el aislamiento temporal de un endpoint para evitar que el malware se propague por la red.
– Conservar datos para su uso futuro. Las soluciones EDR-XDR conservan los datos para apoyar futuras investigaciones y la búsqueda proactiva de amenazas. Los analistas y las herramientas usan estos datos para investigar ataques prolongados existentes o ataques no detectados previamente.