Endpoint Detection and Response

Un EDR (Endpoint Detection and Response) est un outil de sécurité informatique qui détecte les incidents de sécurité via une analyse comportementale et y répond.

Image d'illustration : https://wazuh.com

L'EDR : le successeur des anti-virus ?

Un EDR (Endpoint Detection and Response) détecte et répond aux attaques informatiques. À la différence d'un anti-virus, qui se base sur l'analyse des fichiers, l'EDR détecte les attaques en analysant le résultat de commandes, de logs ou encore de fonctions d'API utilisées : il s'agit d'un analyse comportementale.

Cela permet de détecter des attaques bien plus sophistiquées et plus générales : alors qu'il est difficile de recenser toutes les adresses IP qui tentent de pirater votre serveur SSH, il est facile de détecter qu'une adresse IP a tenté plusieurs fois de se connecter à un compte sans réussir.

Détection

La partie de détection de l'EDR fonctionne généralement en trois parties : l'acquisition de la donnée (une nouvelle ligne dans un fichier de log par exemple), le traitement de la donnée (transformation de la ligne en un dictionnaire d'élements) et la catégorisation de la donnée par des règles.

Admettons par exemple que le fichier /var/log/connections.log a une nouvelle ligne de log : "6 Failed password from 103.106.189.143". Notre traitement peut séparer l'adresse IP 103.106.189.143 de "Failed password from" et du nombre d'essais : "6" ; notre règle va ensuite comparer le nombre d'essais (6) à sa limite (4), et catégoriser cela comme malveillant.

Réponse

Ensuite, l'EDR peut répondre à un incident lui-même en effectuant des actions prédéfinies. Si l'on part de l'exemple plus haut, notre EDR peut bannir l'adresse IP 103.106.189.143 qui est en train de nous attaquer.

Pour aller plus loin

Ceci étant la théorie, vous pouvez essayer Wazuh ou Falco, qui sont tous deux des EDR en source ouverte et gratuits.