Skip to main content

EDR, 엔드포인트 감지 및 응답

· 4 min read

EDR 개념

  • IDS, IPS 기능을 포함하여 네트워크의 엔드포인트에서 발생하는 보안 이벤트를 실시간으로 감지하고 대응하는 기술
  • 복잡한 위협 환경 실시간 대응 가능, 포렌식 및 분석 기능 제공, 통합 정책 적용, 관리 용이

EDR 구성도, 구성요소, 적용방안

EDR 구성도

EDR 구성요소

구분내용비고
데이터 수집 에이전트엔드포인트에서 데이터를 실시간으로 수집다양한 OS 지원
중앙 관리 서버수집된 데이터를 중앙에서 관리 및 저장확장 가능성
위협 분석 엔진수집된 데이터를 분석하여 위협을 탐지AI/ML 기반
실시간 경고 시스템위협이 탐지되면 관리자에게 경고 알림을 전송즉각적인 대응
대응 및 격리 조치탐지된 위협에 대해 즉각적인 대응 및 격리 조치 수행자동화 가능
보고 및 포렌식 분석위협에 대한 보고서 작성 및 포렌식 분석 제공감사 및 컴플라이언스
보안 오케스트레이션다양한 보안 솔루션과의 연계 및 조정통합 관리

EDR 적용방안

엔드포인트내용비고
데스크탑/노트북실시간 위협 탐지 및 대응, 사용자 활동 모니터링다양한 OS 지원
서버중요 데이터 보호, 서버 자원 모니터링 및 침입 탐지고가용성 필요
모바일 기기모바일 보안 위협 탐지 및 데이터 유출 방지BYOD 정책 준수
IoT 장치IoT 특화 위협 탐지 및 대응, 장치 간 통신 모니터링경량 에이전트 필요

EDR 고려사항

  • 조직의 성장으로 인한 엔드포인트 확장성과, 다양한 운영체제, 디바이스 호환성 고려 필요
  • 생성형 AI 기반 검증, 감사용 데이터로 보안 로그를 활용할 수 있도록 로깅 포맷의 정형화 필요