EDR

Rozwiązanie monitorujące stacje końcowe (komputery, serwery) w celu wykrywania zaawansowanych zagrożeń, analizy zdarzeń i automatycznej reakcji na incydenty.

EDR (ang. Endpoint Detection and Response) to klasa rozwiązań bezpieczeństwa, która w sposób ciągły zbiera dane z urządzeń końcowych — laptopów, stacji roboczych, serwerów — i na ich podstawie wykrywa zaawansowane zagrożenia, koreluje zdarzenia i pozwala automatycznie albo półautomatycznie zareagować na incydent. W skrócie: klasyczny antywirus pyta „czy ten plik jest na liście złych?”, a EDR pyta „co właściwie ten proces robi na maszynie i czy to zachowanie wygląda na atak?”.

Jak to działa

Na każdym chronionym urządzeniu instalujesz lekkiego agenta. Zbiera on telemetrię: uruchamiane procesy, połączenia sieciowe, modyfikacje rejestru, dostęp do plików, wywołania API, logowania. Dane lecą na serwer (on-premise albo w chmurze), gdzie silnik analityczny szuka podejrzanych wzorców — często łącząc reguły behawioralne, sygnatury, modele uczenia maszynowego i wiedzę o technikach atakujących (np. mapowanie na MITRE ATT&CK).

Kluczowe słowo to Response. EDR nie tylko krzyczy „alarm”, ale daje narzędzia do działania: izolację maszyny od sieci, zabicie procesu, kwarantannę pliku, cofnięcie zmian czy zdalny dostęp do hosta na potrzeby śledztwa (threat hunting). Dzięki zapisanej historii zdarzeń odtworzysz całą oś czasu ataku — od pierwszego kliknięcia w załącznik do prób eskalacji uprawnień.

Przykład z praktyki

Popularne rozwiązania to Microsoft Defender for Endpoint, CrowdStrike Falcon czy SentinelOne. Wyobraź sobie, że użytkownik odpala makro z faktury, a to startuje PowerShella pobierającego payload z internetu. Antywirus może to przepuścić (plik „czysty”), ale EDR widzi łańcuch: winword.exe → powershell.exe → connection do podejrzanego IP. Generuje alert, a analityk jednym kliknięciem izoluje hosta:

  • w Defenderze: akcja Isolate device w portalu lub przez API,
  • w CrowdStrike: Network Containment na danym sensorze.

Maszyna zostaje odcięta od sieci (poza komunikacją z konsolą), więc atak nie rozlewa się dalej, a Ty masz czas na analizę.

Częste błędy i mity

„EDR zastępuje antywirus” — nie do końca; w praktyce większość platform łączy ochronę prewencyjną (EPP) z detekcją i reakcją (EDR). „Wdrożę i zapomnę” — EDR bez kogoś, kto czyta alerty i je obsługuje, to drogi generator powiadomień. Dlatego firmy często kupują MDR (zarządzaną usługę) albo wpinają EDR do SOC. Uważaj też na strojenie reguł: zbyt czułe = lawina false positives i alarm fatigue.

Pojęcia powiązane

Warto kojarzyć: EPP (Endpoint Protection Platform), XDR (detekcja rozszerzona na sieć, chmurę i pocztę), SIEM (centralna analiza logów), SOAR (automatyzacja reakcji), MITRE ATT&CK oraz IoC (Indicators of Compromise).