EDR (Endpoint Detection and Response)

L'EDR (Endpoint Detection and Response) est une catégorie de solutions de sécurité endpoint introduite par Anton Chuvakin (Gartner) en 2013. Au-delà de l'antivirus traditionnel signature-based, l'EDR collecte en continu une télémétrie riche depuis les endpoints (processus, network connections, file/registry operations, DLL loads, scripts, command-line arguments), la corrèle dans un cloud backend avec de la threat intel et des règles comportementales, et offre des capacités de réponse (isolation host, kill process, file quarantine, threat hunting).

Leaders du marché (Gartner MQ 2024) : Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity, Palo Alto Cortex XDR, Trend Micro Vision One, Trellix (FireEye+McAfee), Cybereason, BitDefender GravityZone, Sophos Intercept X, Cisco Secure Endpoint.

Capacités clés : (1) prevention (NGAV : ML-based detection, exploit prevention, application control) ; (2) detection (behavioral analytics, IoC matching, ML anomaly detection) ; (3) investigation (process tree visualization, timeline, MITRE ATT&CK mapping) ; (4) response (network isolation, remote shell, scripted remediation, rollback ransomware) ; (5) threat hunting (custom queries en KQL/SPL/EDRSL) ; (6) integration SOAR/SIEM.

Différences EDR vs XDR vs MDR : EDR couvre les endpoints ; XDR (eXtended Detection and Response) étend à l'email, identity, network, cloud workloads ; MDR (Managed Detection and Response) est un service managé où un SOC externe opère l'EDR/XDR 24/7.

Limitations : (1) bypass possibles par les attaquants sophistiqués (BYOVD — Bring Your Own Vulnerable Driver, EDRSilencer, hooks API bypass) ; (2) coût (licences par endpoint + ingestion data) ; (3) bruit (alertes faux positifs nécessitent tuning) ; (4) dépendance au cloud du vendeur. Le choix dépend du contexte : environnement Microsoft → Defender for Endpoint optimal, parc hétérogène → CrowdStrike/SentinelOne.