EDR daje widoczność i reakcję na stacjach roboczych i serwerach. XDR rozszerza to o inne źródła jak chmura, sieć i poczta. Bez EDR/XDR SOC nie widzi tego, co robi atakujący po zalogowaniu się do systemu.
(Większość ataków wygrywa nie exploitami, tylko „normalnymi” narzędziami systemowymi.)
EDR co to jest?
EDR (Endpoint Detection and Response) monitoruje:
-
procesy,
-
pamięć,
-
pliki,
-
połączenia sieciowe,
-
działania użytkownika na endpointach.
EDR odpowiada na pytanie: co naprawdę wydarzyło się na tej maszynie?
XDR – dlaczego to nie jest tylko marketing?
XDR łączy dane z:
-
endpointów,
-
poczty,
-
chmury,
-
sieci,
-
tożsamości.
Dzięki temu SOC widzi ciąg zdarzeń, a nie pojedynczy alert. To kluczowe przy atakach typu APT, BEC i phishing z przejęciem konta.
Co EDR/XDR daje SOC w praktyce?
-
wykrywanie nadużyć PowerShella, WMI, LOLBins,
-
izolację stacji jednym kliknięciem,
-
szybkie potwierdzenie lub wykluczenie incydentu,
-
materiał dowodowy do analizy post-incident.
Bez EDR SOC bardzo często zgaduje.
Jak Pentestica testuje EDR/XDR?
Podczas pentestów sprawdzamy:
-
czy EDR wykrywa realne techniki ataku,
-
czy reakcja faktycznie działa,
-
czy SOC potrafi zinterpretować alert.
Często okazuje się, że narzędzie jest, ale playbooków brak.
Redakcja Pentestica.pl zespół ekspertów ds. cyberbezpieczeństwa, którzy dzielą się swoją wiedzą i praktycznym doświadczeniem w zakresie testów penetracyjnych, audytów it, regulacji NIS2, MiCA, DORA i nowych technologii. Nasi autorzy to doświadczeni pentesterzy, specjaliści bezpieczeństwa IT oraz konsultanci, którzy z pasją tworzą profesjonalne artykuły, aby przybliżyć Państwu tematykę cyberbezpieczeństwa w praktyce. Znajdą tu Państwo dogłębne analizy zagrożeń, omówienia technik ataków, porady dotyczące ochrony systemów oraz praktyczne wskazówki z zakresu testów penetracyjnych i wdrożeń regulacji. Naszym celem jest dostarczanie rzetelnej i aktualnej wiedzy, która pomoże Państwu lepiej zrozumieć świat cyberbezpieczeństwa i skutecznie chronić swoje zasoby cyfrowe.