Оглавление
Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность” опросила экспертов по актуальным аспектам развития EDR-решений.
Эксперты:
Юрий Бережной, руководитель направления по развитию защиты конечных устройств Positive Technologies
Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.C.C.T.
Павел Петров, ведущий менеджер по продукту Kaspersky EDR Expert
Сергей Солдатов, руководитель центра мониторинга кибербезопасности Kaspersky
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE
Насколько EDR способна облегчить работу аналитиков SOC и минимизировать человеческий фактор?
Юрий Бережной, Positive Technologies:
В первую очередь, за счет размещения автономных агентов EDR на конечных устройствах, а значит и повышение качества сбора событий, необходимых для проведения корреляционного анализа. Это сопровождается гранулярным управлением конфигурациями сбора на каждом устройстве из одного окна, удобными настройками расписания обмена данными с сервером, возможностей лимитирования нагрузки, которые позволят не влиять на рабочие процессы конечного устройства. Вовторых, EDR открывает широкие возможности реагирования: от тонкой настройки политик для различных групп устройств до проведения масштабных операций, включая автоматизированные сценарии. Бывали примеры, когда сочетание этих возможностей экономило людям месяцы труда. Разумеется, каждый случай уникален, и эффективность применения зависит от множества факторов.
ITSec_articles