+38 (067) 372 39 55

English site

Як обрати EDR: критерії, тестовий план та PoC сценарії?

Що таке EDR?Endpoint Detection and Response (EDR) — це рішення для виявлення, аналізу та реагування на загрози на робочих станціях і серверах.Сучасний EDR є основою будь-якого SOC або MDR.
Основні критерії вибору
Якість детекціїПеревіряйте результати● MITRE ATT&CK Evaluations;● AV-Comparatives;● SE Labs.
Можливості реагуванняПотрібні функції:● host isolation;● process termination;● quarantine;● remote response.
Threat HuntingРішення повинно підтримувати:● пошук IOC;● поведінковий аналіз;● ретроспективний пошук.
ІнтеграціїСумісність із:● SIEM;● SOAR;● Threat Intelligence;● ITSM.
Рекомендовані продуктиЛідери ринку:Microsoft Defender for EndpointCrowdStrike FalconSentinelOne SingularityPalo Alto Cortex XDR
PoC сценарії
Виконання шкідливого ПЗПеревірити:● детекцію;● блокування;● генерацію алертів.
Credential DumpingІмітація Mimikatz або аналогічних технік.
PowerShell AttackОбфускований PowerShell.
Ransomware SimulationБезпечна емуляція шифрування.
Lateral MovementPsExec та Remote Services.
Data ExfiltrationАрхівування та вивантаження даних.
Критерії успішного PoCОцінюйте:● Detection Rate;● False Positive Rate;● продуктивність агентів;● якість телеметрії;● зручність розслідування.
PoC повинен перевіряти реальні сценарії атак, а не лише запуск тестового malware-файлу. Саме якість телеметрії та можливості реагування визначають ефективність EDR.

← Назад