Як обрати EDR: критерії, тестовий план та PoC сценарії?
Що таке EDR?Endpoint Detection and Response (EDR) — це рішення для виявлення, аналізу та реагування на загрози на робочих станціях і серверах.Сучасний EDR є основою будь-якого SOC або MDR. Основні критерії вибору Якість детекціїПеревіряйте результати● MITRE ATT&CK Evaluations;● AV-Comparatives;● SE Labs. Можливості реагуванняПотрібні функції:● host isolation;● process termination;● quarantine;● remote response. Threat HuntingРішення повинно підтримувати:● пошук IOC;● поведінковий аналіз;● ретроспективний пошук. ІнтеграціїСумісність із:● SIEM;● SOAR;● Threat Intelligence;● ITSM. Рекомендовані продуктиЛідери ринку:Microsoft Defender for EndpointCrowdStrike FalconSentinelOne SingularityPalo Alto Cortex XDR PoC сценарії Виконання шкідливого ПЗПеревірити:● детекцію;● блокування;● генерацію алертів. Credential DumpingІмітація Mimikatz або аналогічних технік. PowerShell AttackОбфускований PowerShell. Ransomware SimulationБезпечна емуляція шифрування. Lateral MovementPsExec та Remote Services. Data ExfiltrationАрхівування та вивантаження даних. Критерії успішного PoCОцінюйте:● Detection Rate;● False Positive Rate;● продуктивність агентів;● якість телеметрії;● зручність розслідування. PoC повинен перевіряти реальні сценарії атак, а не лише запуск тестового malware-файлу. Саме якість телеметрії та можливості реагування визначають ефективність EDR.