Trace Id is missing
Lompati ke konten utama
Microsoft Security

Apa itu deteksi dan respons titik akhir (EDR)?

Jelajahi bagaimana teknologi EDR membantu organisasi melindungi dari ancaman cyber serius seperti ransomware.

Temukan Microsoft Defender untuk Titik Akhir

EDR menentukan

EDR adalah teknologi keamanan cyber yang terus memantau titik akhir untuk mencari bukti ancaman dan melakukan tindakan otomatis untuk membantu memitigasinya. Endpoint—berbagai perangkat fisik yang terhubung ke jaringan, seperti ponsel, desktop, laptop, mesin virtual, dan Internet of Things (IoT ) teknologi—memberi pelaku kejahatan banyak titik masuk untuk menyerang suatu organisasi. Solusi EDR membantu analis keamanan mendeteksi dan memulihkan ancaman pada titik akhir sebelum menyebar ke seluruh jaringan Anda.

Solusi keamanan EDR mencatat perilaku pada titik akhir sepanjang waktu. Mereka terus menganalisis data ini untuk mengungkap aktivitas mencurigakan yang dapat mengindikasikan ancaman seperti ransomware. Hal ini juga dapat melakukan tindakan otomatis untuk membendung ancaman dan memperingatkan profesional keamanan, yang kemudian menggunakan data yang direkam untuk menyelidiki secara tepat bagaimana pelanggaran tersebut terjadi, apa dampaknya, dan apa yang perlu dilakukan selanjutnya.

Peran EDR dalam keamanan cyber

Bagi organisasi yang berupaya untuk tetap aman dari serangan cyber, EDR mewakili kemajuan dalam teknologi antivirus. Program antivirus dirancang untuk mencegah pelaku jahat memasuki sistem dengan memeriksa ancaman yang diketahui dari database dan mengambil tindakan karantina otomatis jika mendeteksi salah satunya. Platform perlindungan titik akhir (EPP) adalah garis pertahanan pertama yang mencakup perlindungan antivirus dan antimalware tingkat lanjut, dan EDR memberikan perlindungan tambahan jika terjadi pelanggaran dengan mengaktifkan deteksi dan remediasi.

EDR memiliki kemampuan untuk memburu ancaman yang belum diketahui—ancaman yang melampaui batas—dengan mendeteksi dan menganalisis perilaku mencurigakan, atau dikenal sebagai indikator kompromi (IOC).

EDR memberikan visibilitas dan otomatisasi yang dibutuhkan tim keamanan untuk mempercepat respons insiden dan mencegah penyebaran serangan terhadap titik akhir. Mereka terbiasa:

  • Memantau titik akhir dan simpan catatan aktivitas lengkap untuk mendeteksi aktivitas mencurigakan secara real-time.
  • Menganalisis data ini untuk menentukan apakah ancaman memerlukan penyelidikan dan remediasi.
  • Menghasilkan peringatan yang diprioritaskan untuk tim keamanan Anda sehingga mereka tahu apa yang perlu ditangani terlebih dahulu.
  • Memberikan visibilitas dan konteks sejarah lengkap dan ruang lingkup pelanggaran untuk membantu penyelidikan tim keamanan.
  • Secara otomatis membendung atau memulihkan ancaman sebelum menyebar.

Bagaimana cara kerja EDR?

Meskipun teknologi EDR mungkin berbeda-beda di setiap vendor, cara kerjanya secara umum sama. Solusi EDR:

  1. Terus memantau titik akhir. Saat perangkat Anda sudah terpasang, solusi EDR akan menginstal agen perangkat lunak pada masing-masing perangkat untuk memastikan seluruh ekosistem digital terlihat oleh tim keamanan. Perangkat dengan agen terinstal disebut perangkat terkelola. Agen perangkat lunak ini terus mencatat aktivitas yang relevan pada setiap perangkat yang dikelola.
  2. Menggabungkan data telemetri. Data yang diserap dari setiap perangkat dikirim kembali dari agen ke solusi EDR, yang bisa berada di cloud atau lokal. Log peristiwa, upaya autentikasi, penggunaan aplikasi, dan informasi lainnya dapat dilihat oleh tim keamanan secara real-time.
  3. Menganalisis dan menghubungkan data. Solusi EDR mengungkap IOC yang mungkin mudah terlewatkan. EDR biasanya menggunakan AI dan pembelajaran mesin untuk menerapkan analisis perilaku berdasarkan intelijen ancaman global untuk membantu tim Anda menangkis taktik canggih yang digunakan terhadap organisasi Anda.
  4. Menampilkan dugaan ancaman dan mengambil tindakan remediasi otomatis. Solusi EDR menandai potensi serangan dan mengirimkan peringatan yang dapat ditindaklanjuti ke tim keamanan Anda sehingga mereka dapat merespons dengan cepat. Tergantung pada pemicunya, sistem EDR juga dapat mengisolasi titik akhir atau membendung ancaman untuk mencegah penyebarannya saat insiden sedang diselidiki.
  5. Menyimpan data untuk penggunaan di masa mendatang. Teknologi EDR menyimpan catatan forensik peristiwa masa lalu untuk menginformasikan penyelidikan di masa depan. Analis keamanan dapat menggunakan ini untuk mengonsolidasikan kejadian atau untuk mendapatkan gambaran besar tentang serangan yang berkepanjangan atau yang sebelumnya tidak terdeteksi.

Kemampuan dan fitur utama EDR

Solusi EDR yang komprehensif dapat memberikan keuntungan tersendiri bagi tim keamanan Anda yang memungkinkan mereka melindungi data kerja dengan lebih efektif. Hal ini memungkinkan mereka untuk:

  • Menghilangkan titik buta

    EDR memungkinkan tim keamanan mendapatkan visibilitas dan pengelolaan terpadu atas titik akhir yang ada dan menemukan titik akhir yang tidak dikelola yang terhubung ke jaringan Anda yang mungkin menimbulkan kerentanan dan paparan umum (CVE) yang tidak diperlukan. Mereka juga dapat menggunakannya untuk mengurangi permukaan serangan dengan menandai kerentanan dan kesalahan konfigurasi.

  • Menggunakan alat investigasi generasi berikutnya

    Solusi EDR bekerja bersama tim keamanan Anda untuk memprioritaskan potensi ancaman paling serius, memvalidasinya, dan melakukan tindakan triase dalam hitungan menit.

     

  • Memblokir serangan paling canggih

    Solusi EDR membantu tim keamanan menemukan ancaman canggih seperti ransomware yang terus mengubah perilaku untuk menghindari deteksi. Ini efektif terhadap serangan berbasis file dan tanpa file.

  • Mengatasi ancaman dengan lebih cepat

    Tim keamanan dapat mengurangi waktu yang diperlukan untuk merespons ancaman dengan alat EDR yang secara otomatis menahan serangan, memulai penyelidikan, dan menggunakan AI untuk keamanan cyber untuk menerapkan praktik terbaik dan menentukan langkah selanjutnya.

  • Secara proaktif memburu ancaman

    Solusi EDR menerapkan analisis perilaku yang kaya untuk memberikan pemantauan ancaman yang mendalam, membantu tim untuk mendeteksi serangan ketika ada tanda-tanda pertama adanya perilaku mencurigakan.

  • Mengintegrasikan deteksi dan respons dengan SIEM

    Banyak solusi keamanan EDR yang terintegrasi secara lancar dengan produk security information and event management (SIEM) yang ada serta alat lain di tumpukan tim keamanan Anda.

Mengapa EDR penting?

Solusi keamanan EDR memberikan perlindungan penting bagi organisasi modern. Solusi antivirus dan antimalware saja tidak dapat mencegah 100 persen serangan yang mungkin ditujukan pada jaringan Anda. Penjahat cyber terus mengembangkan taktik yang mereka gunakan untuk menghindari pertahanan perimeter, dan mau tidak mau, beberapa pelaku kejahatan cyber akan berhasil melewatinya. Tim keamanan memerlukan alat yang kuat untuk memburu sejumlah kecil ancaman yang dapat melewati batas dan menyebabkan kerusakan besar serta kehilangan data.

Ancaman seperti serangan penolakan layanan terdistribusi (DDoS), pengelabuan, dan ransomware dapat menjadi bencana bagi operasi organisasi dan memerlukan banyak uang untuk memulihkannya. Penjahat cyber semakin memiliki sumber daya yang baik dan bermotivasi tinggi. Menyusup ke sistem adalah bisnis yang menguntungkan bagi mereka, dan mereka berinvestasi pada teknologi canggih agar serangan mereka lebih berhasil. Dengan semakin berkembangnya taktik ancaman cyber, maka masuk akal secara finansial bagi organisasi untuk meningkatkan postur keamanan mereka agar bersikap proaktif dan berinvestasi pada teknologi yang dapat mengatasi ancaman modern.

EDR menjadi sangat penting karena semakin banyak organisasi yang mengadopsi pola kerja jarak jauh dan hibrid. Saat karyawan terhubung ke jaringan dari laptop, PC, dan ponsel yang tersebar secara geografis, tim keamanan memiliki permukaan serangan yang lebih besar untuk dipertahankan. Solusi EDR memberi mereka kemampuan untuk memantau dan menganalisis data dari titik akhir ini secara real time.

Dampak EDR terhadap respons insiden

Solusi keamanan EDR dapat membantu tim Anda menciptakan efisiensi di setiap fase rencana respons insiden mereka. Selain memberdayakan tim untuk mendeteksi ancaman yang mungkin tidak terlihat, mereka dapat mengharapkan fitur EDR untuk meringankan tugas-tugas manual dan membosankan yang terkait dengan fase selanjutnya dari siklus respons insiden:

Pengendalian, pemberantasan, dan pemulihan. Visibilitas real-time dan otomatisasi yang diberikan oleh solusi EDR akan membantu tim Anda dengan cepat mengisolasi titik akhir yang terinfeksi, memblokir lalu lintas ke dan dari alamat IP berbahaya, dan mulai mengambil langkah selanjutnya untuk mengurangi ancaman. Alat EDR gambar yang menangkap titik akhir secara terus-menerus memudahkan untuk mengembalikan ke keadaan tidak terinfeksi sebelumnya bila diperlukan.

Analisis pasca peristiwa. Data forensik yang disediakan EDR tentang aktivitas titik akhir, koneksi jaringan, tindakan pengguna, dan modifikasi file dapat membantu analis Anda melakukan analisis akar penyebab—mengidentifikasi asal mula suatu peristiwa. Hal ini juga mempercepat proses analisis dan pelaporan mengenai hal-hal yang berhasil dan tidak berjalan dengan baik, sehingga mereka dapat lebih siap untuk menghadapi tantangan berikutnya.

EDR dan perburuan ancaman

Perburuan ancaman cyber proaktif adalah latihan keamanan yang dilakukan analis untuk mencari ancaman yang tidak diketahui di jaringan mereka. Solusi EDR mendukung hal ini dengan menyediakan data forensik yang dapat membantu analis Anda memutuskan IOC mana yang akan ditargetkan, seperti file tertentu, konfigurasi, atau perilaku mencurigakan. Dalam lanskap ancaman cyber di mana pelaku kejahatan sering kali bersembunyi di lingkungan yang tidak terdeteksi selama berbulan-bulan, perburuan ancaman adalah cara yang berharga untuk memperkuat postur keamanan Anda dan memenuhi persyaratan kepatuhan.

Beberapa solusi EDR memungkinkan analis Anda membuat aturan khusus untuk deteksi ancaman yang ditargetkan. Aturan ini memungkinkan Anda memantau secara proaktif berbagai peristiwa dan status sistem, termasuk dugaan aktivitas pelanggaran dan titik akhir yang salah dikonfigurasi. Mereka dapat diatur untuk berjalan secara berkala, menghasilkan peringatan dan mengambil tindakan respons setiap kali ada kecocokan.

Jadikan EDR sebagai bagian dari strategi keamanan Anda

Jika Anda mempertimbangkan untuk menambahkan kemampuan keamanan EDR ke pertahanan Anda, penting untuk memilih solusi yang terintegrasi secara lancar dengan alat yang ada dan menyederhanakan tumpukan keamanan Anda alih-alih membuatnya lebih kompleks. Penting juga untuk memilih solusi EDR yang menggunakan AI tingkat lanjut sehingga dapat belajar dari insiden masa lalu dan secara otomatis menangani insiden serupa untuk mengurangi beban kerja tim Anda.

Berdayakan tim keamanan Anda agar lebih efisien dan mengatasi manuver penyerang dengan Microsoft Defender untuk Titik Akhir. Defender for Endpoint dapat membantu Anda mengembangkan strategi keamanan untuk melindungi dari ancaman canggih di seluruh perusahaan multiplatform Anda.

Pelajari selengkapnya tentang Microsoft Security

Microsoft Defender XDR

Dapatkan visibilitas tingkat insiden di seluruh rantai pembunuhan, gangguan otomatis terhadap serangan canggih, dan respons yang dipercepat.

Pelajari selengkapnya

Pengelolaan Kerentanan Microsoft Defender

Tutup kesenjangan dan kurangi risiko Anda dengan penilaian dan remediasi kerentanan yang berkelanjutan.

Pelajari selengkapnya

Microsoft Defender untuk Bisnis

Lindungi bisnis kecil hingga menengah Anda dari ancaman modern yang menghindari solusi antivirus tradisional.

Pelajari selengkapnya

Perlindungan Ancaman Terpadu

Lindungi infrastruktur digital multicloud Anda dari serangan dengan solusi XDR dan SIEM terpadu.

Pelajari selengkapnya

Microsoft Defender for IoT

Dapatkan penemuan aset secara real-time, kelola kerentanan, dan lindungi Internet of Things (IoT) dan infrastruktur industri Anda dari ancaman.

Pelajari selengkapnya

Tanya jawab umum

  • EDR bukan sekadar teknologi antivirus. Program antivirus dirancang untuk melarang pelaku jahat memasuki sistem dengan memeriksa ancaman yang diketahui dari database dan mengambil tindakan karantina otomatis jika mendeteksi ancaman. EDR memberikan perlindungan yang lebih kuat karena memiliki kemampuan memburu ancaman yang belum diketahui dengan menganalisis perilaku mencurigakan.

  • EDR adalah singkatan dari deteksi dan respons titik akhir, dan dalam bisnis, ini adalah alat penting untuk memastikan bahwa penjahat cyber tidak dapat menggunakan laptop, desktop, dan perangkat seluler karyawan untuk menyusup ke data dan infrastruktur pekerjaan. EDR memberi tim keamanan visibilitas ke semua titik akhir yang terhubung ke jaringan dan menyediakan alat canggih untuk membantu mereka menganalisis sinyal ancaman dan mendeteksi ancaman.

  • EDR bekerja dengan terus memantau titik akhir yang terhubung ke jaringan dan mencatat perilaku sehingga tim keamanan dapat melindungi organisasi dari ancaman dengan lebih efektif. EDR secara terpusat mengumpulkan data telemetri, lalu menganalisis dan menghubungkannya dengan potensi ancaman. Ini juga mengambil tindakan remediasi otomatis jika diperlukan dan memberikan catatan serangan forensik untuk mempercepat penyelidikan.

  • Microsoft Defender untuk Titik Akhir adalah EDR perusahaan yang dirancang untuk membantu organisasi mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Hal ini terintegrasi dengan banyak solusi Microsoft lainnya untuk memberikan keamanan holistik dan terbaik di kelasnya.

  • XDR adalah evolusi alami dari EDR. XDR memperluas cakupan EDR, menawarkan deteksi dan respons yang optimal di berbagai produk, mulai dari jaringan dan server hingga aplikasi dan titik akhir berbasis cloud. XDR menawarkan fleksibilitas dan integrasi di seluruh rangkaian alat dan produk keamanan yang ada di perusahaan.

Ikuti Microsoft 365