A EDR usa funções de análise avançada e algoritmos de aprendizado de máquina para identificar padrões que indicam ameaças conhecidas ou atividades suspeitas em tempo real, à medida que elas se desenvolvem.
Em geral, a EDR procura dois tipos de indicadores: indicadores de comprometimento (IOCs), que são ações ou eventos compatíveis com um possível ataque ou violação; e indicadores de ataque (IOAs), que são ações ou eventos associados a ameaças cibernéticas ou cibercriminosos conhecidos.
Para identificar esses indicadores, a EDR correlaciona seus próprios dados de endpoint em tempo real com dados de serviços de inteligência de ameaças, que fornecem informações sempre atualizadas sobre ameaças cibernéticas novas e recentes, as táticas utilizadas, as vulnerabilidades de endpoints ou da infraestrutura de TI que elas exploram etc. Os serviços de inteligência de ameaças podem ser próprios (operados pelo provedor de EDR), de terceiros ou baseados na comunidade. Além disso, muitas soluções de EDR também mapeiam dados para o Mitre ATT&CK, uma base de conhecimento global livremente acessível sobre as táticas e técnicas de ameaças cibernéticas dos hackers, para a qual o governo dos EUA contribui.
A análise e os algoritmos de EDR também podem fazer suas próprias investigações, comparando dados em tempo real com dados históricos e parâmetros estabelecidos para identificar atividades suspeitas, atividades aberrantes do usuário final e tudo que possa indicar um incidente ou uma ameaça à cibersegurança. Eles também podem separar os “sinais”, ou ameaças legítimas, do “ruído” dos falsos positivos, para que os analistas de segurança se concentrem nos incidentes que importam.
Muitas empresas integram a EDR a uma solução de SIEM (gerenciamento de informações e eventos de segurança), que reúne questões relacionadas à segurança em todas as camadas da infraestrutura de TI, não apenas endpoints, mas aplicações, bancos de dados, navegadores da internet, hardware de rede etc. Os dados do SIEM podem enriquecer a análise de dados de EDR com contexto adicional para identificar, priorizar, investigar e remediar ameaças.
A EDR resume dados importantes e resultados de análises em um console de gerenciamento central que também serve como interface de usuário (IU) da solução. Pelo console, os membros da equipe de segurança têm visibilidade total de todos os endpoints e problemas de segurança de endpoints, em toda a empresa, e iniciam investigações, respostas a ameaças e remediações envolvendo todo e qualquer endpoint.