¿Alguna vez has oído hablar de los EDR, pero realmente no sabes qué significan esas siglas? No te preocupes, en este post te lo vamos a explicar de una forma muy clara y sencilla.
¿Qué es un EDR?
Un EDR (Endpoint Detection Response) combina las funcionalidades de un antivirus tradicional, pero mezclando herramientas de inteligencia artificial y monitorización de equipos para ofrecer un mayor nivel de protección en los sistemas.
¿Cuáles son las principales diferencias entre un antivirus tradicional y un EDR?
La principal diferencia reside en el comportamiento. El EDR incorpora herramientas de inteligencia artificial, por lo que si detecta una amenaza o comportamiento sospechoso, permite actuar de forma automática y eliminar la amenaza al instante.
¿Con qué mecanismo realiza esta tarea?
La detección de amenazas la realiza a través de IOCs (Indicadores de compromiso) y reglas YARA. Además de esto, también cuentan con un entorno Sandbox, de esta forma aisla los procesos y permite ejecutar pruebas y visualizar el comportamiento de los archivos/programas maliciosos.
¿Qué ventaja tiene un EDR frente un antivirus de firmas tradicional?
- El EDR recopila información detallada tanto del dispositivo, como de la posible amenaza que se ha ejecutado, lo que permite controlar constantemente la información del dispositivo.
- Creación de patrones de comportamiento automático.
- Monitorización de la integridad de los sistemas.
- Integración de Machine Learning y Big Data junto con el EDR.