EDR یا (Endpoint Detection & Response) یک پلتفرم و سیستم امنیتی پیشرفته در حوزه Endpoint Security است که تمرکز اصلی آن پایش مداوم، شناسایی تهدیدات و بدافزارها، تحلیل حملات و پاسخ فعال به رویدادهای امنیتی در سطح سیستم‌های انتهایی طراحی شده است.

Endpoint به هر سیستمی گفته می‌شود که کاربر یا سرویس روی آن فعالیت می‌کند؛ مانند:

  • سیستم‌های کاربری (Windows / Linux / macOS)
  • سرورها
  • ماشین‌های مجازی و Cloud Instanceها

پلتفرم EDR برخلاف آنتی‌ویروس‌های سنتی که صرفاً به دنبال فایل مخرب می‌گردند، رفتار کل سیستم و زنجیره کامل حمله را تحلیل می‌کند.

 

چرا EDR به وجود آمد؟

با پیشرفته‌تر شدن حملات سایبری، ابزارهای سنتی دیگر پاسخگو نبودند. تهدیدات مدرن ویژگی‌های زیر را دارند:

1. Fileless Malware:

بدافزارهایی که بدون ذخیره فایل روی دیسک اجرا می‌شوند. این نوع حمله معمولاً مستقیماً در حافظه (RAM) اجرا می‌شود و از ابزارهای قانونی سیستم مانند  PowerShell، WMI و CMD استفاده می‌کنند، تا کد مخرب را اجرا کنند، بدون آنکه فایلی روی هارد نوشته شود. در واقع، حمله‌ای است که به‌جای فایل، از خود سیستم علیه خودش استفاده می‌کند.

مثال:

  • کاربر یک ایمیل فیشینگ باز می‌کند.
  • ماکرو Word یک دستور PowerShell اجرا می‌کند.
  • PowerShell  کد مخرب را مستقیماً در حافظه اجرا می‌کند.

چرا خطرناک است؟

  • آنتی‌ویروس‌های سنتی چیزی برای اسکن ندارند.
  • لاگ‌ها معمولاً کم هستند.
  • ردپای کمی روی دیسک باقی می‌ماند.

نقش EDR در شناسایی Fileless Malware:

EDR به جای اسکن فایل:

  • رفتار Processها را بررسی می‌کند
  • زنجیره اجرای مشکوک (Word → PowerShell) را تشخیص می‌دهد.
  • اجرای غیرعادی ابزارهای سیستمی را Flag می‌کند.

 

2. Zero-Day Attacks (حملات روز صفر):

حملاتی که از آسیب‌پذیری‌های ناشناخته یا اصلاح نشده استفاده می‌کنند و هیچ امضای شناخته‌شده‌ای ندارند. حتی تولیدکننده نرم‌افزار نیز از وجود آن اطلاع نداشته و یا Patch را منتشر نکرده است.

چرا به آن Zero-Day می‌گویند؟

چون:

  • توسعه‌دهنده نرم‌افزار صفر روز زمان داشته تا آن را اصلاح کند.
  • هیچ امضا (Signature) یا الگوی شناخته‌شده‌ای برای آن وجود ندارد.

مراحل یک Zero-Day Attack:

  1. کشف آسیب‌پذیری توسط مهاجم
  2. ساخت Exploit اختصاصی
  3. اجرای حمله قبل از انتشار Patch
  4. نفوذ به سیستم‌ها بدون شناسایی سنتی

چرا شناسایی آن سخت است؟

  • هیچ Signature‌ای وجود ندارد.
  •  IDS/IPS و آنتی‌ویروس سنتی معمولاً در سناسایی این تهدید ناتوان هستند.
  • فقط رفتار غیرعادی قابل مشاهده است.

نقش EDR در مقابله با Zero-Day:

EDR با تمرکز بر:

  • رفتار غیرعادی Process
  • تلاش برای Privilege Escalation
  • اجرای Exploitهای غیرمعمول

می‌تواند Zero-Day را قبل از شناخت رسمی آسیب‌پذیری شناسایی کند.

 

3. APT (Advanced Persistent Threat):

حملات هدفمند، آرام، پیچیده و بلندمدت که هدف آن‌ها ماندگاری در شبکه و سرقت اطلاعات است. معمولا توسط گروه‌های حرفه‌ای انجام خواهد گرفت. EDR برای مقابله با این تهدیدات طراحی شد تا به‌جای تمرکز روی «فایل مخرب»، روی رفتار غیرعادی و ناهنجاری امنیتی تمرکز کند.

ویژگی‌های اصلی APT:

  • Advanced: استفاده از تکنیک‌های پیشرفته و سفارشی
  • Persistent: ماندگاری طولانی‌مدت در شبکه
  • Threat:  هدف مشخص (سازمان، صنعت یا کشور خاص)

مراحل یک حمله APT:

  1. Reconnaissance(جمع‌آوری اطلاعات)
  2. Initial Access (نفوذ اولیه)
  3. Persistence (ایجاد ماندگاری)
  4. Lateral Movement (حرکت در شبکه)
  5. Data Exfiltration (سرقت اطلاعات)

هدف APT چیست؟

  • سرقت داده‌های حساس
  • جاسوسی صنعتی یا سیاسی
  • خرابکاری تدریجی
  • ماندن بدون شناسایی برای ماه‌ها یا حتی سال‌ها

چرا APT خطرناک است؟

  • خیلی آهسته عمل می‌کند.
  • از ابزارهای قانونی استفاده می‌کند.
  • معمولاً زیر رادار سیستم‌های امنیتی سنتی می‌ماند.

نقش EDR در شناسایی APT:

EDR با:

  • ثبت Timeline طولانی‌مدت رویدادها
  • شناسایی رفتارهای غیرعادی مداوم
  • کشف Lateral Movement و Credential Abuse

می‌تواند ردپای APT را حتی بعد از مدت‌ها کشف کند.

 

پلتفرم EDR

 

معماری فنی EDR 

1. Agent (Sensor) در Endpoint:

Agent هسته‌ی EDR است که بر روی سیستم نصب شده و به ‌صورت Real-Time داده‌های زیر را جمع‌آوری می‌کند:

  • Process Creation / Termination
  • Parent-Child Process Relationship
  • File & Registry Modification
  • Command-line Arguments
  • Network Connections
  • User Context

این سطح از لاگ‌برداری به تیم امنیتی (Visibility) دید کامل می‌دهد.

 

2. جمع‌آوری و ارسال  Telemetry:

سیستم‌های EDR داده‌های Telemetry را از Endpoint ها جمع‌آوری کرده و به سرور مرکزی یا (فضای ابری) Cloud ارسال می‌کنند. این داده‌های دقیق، هر مرحله از حمله به‌طور کامل بازسازی و تحلیل می‌کنند.

 

3. موتور تحلیل و تشخیص (Detection Engine):

EDR برای شناسایی تهدید همزمان از چند روش امنیتی استفاده می‌کند:

  •  :Behavioral Analysis تحلیل رفتار غیرعادی فرآیندها و فعالیت‌های سیستم
  •  :Machine Learning شناسایی الگوهای تهدید جدید و ناشناخته
  •  :Rule-based Detection اعمال قوانین امنیتی از پیش تعریف‌شده برای شناسایی رفتارهای مشکوک
  •  :Threat Intelligence مقایسه فعالیت‌ها با IOCهای شناخته‌شده و پایگاه‌های تهدید

 

4. کنسول مدیریت و پاسخ‌دهی:

کنسول مدیریتی امکان موارد زیر را فراهم می‌کند:

  • مشاهده و تحلیل گراف حمله  (Attack Graph) برای بررسی مسیرهای حمله.
  • بررسی Timeline رویدادها به طور دقیق، همراه با جزئیات.
  • اجرای اقدامات اصلاحی (Response Action) برای مهار تهدیدات.
  • انجام Threat Hunting دستی برای کشف تهدیدهای بالقوه و پنهان .

 

EDR چگونه حمله را شناسایی می‌کند؟ (Attack Chain)

درEDR، تشخیص حمله، بر اساس، تحلیل کامل زنجیره رخدادها (Attack Chain) است. یعنی، به‌جای تمرکز روی یک فعالیت منفرد، رفتارهای متوالی و مشکوک دنبال می‌شوند. برای نمونه:

  • اجرای برنامه  Word
  • اجرای PowerShell توسط Word
  • اتصال PowerShell به اینترنت
  • تلاش برای دسترسی به رمزهای عبور (Credential Dump)

سپس این زنجیره رفتاری با تکنیک‌های MITRE ATT&CK مقایسه می‌شود. در صورت هماهنگی، سیستم آنرا به‌عنوان یک تهدید واقعی شناسایی می‌کند.

 

نقش EDR

 

سناریوی واقعی یک حمله و واکنش  EDR

 

مرحله 1. Initial Access (دسترسی اولیه)

در ابتدا، کاربر یک فایل Word آلوده را از طریق ایمیل یا دانلود دریافت می‌کند. پس از باز کردن فایل، بدون آن‌که کاربر متوجه شود، زنجیره حمله آغاز می‌شود. این روش یکی از متداول‌ترین راه‌های نفوذ اولیه در حملات فیشینگ است.

 

مرحله 2. Execution (اجرای کد مخرب)

فایل Word حاوی یک ماکرو مخرب است که پس از فعال‌سازی، دستور PowerShell را با پارامترهای مخفی اجرا می‌کند. این مرحله معمولاً برای اجرای کد بدون جلب توجه کاربر یا آنتی‌ویروس‌های سنتی استفاده می‌شود.

 

مرحله 3.  Command & Control (ارتباط با سرور مهاجم)

سپس، PowerShell به یک IP  یا دامنه ناشناس متصل می‌شود، تا دستورات بعدی را از سرور مهاجم دریافت کند. این ارتباط، کانال Command & Control (C2) را ایجاد می‌کند که برای کنترل سیستم قربانی به کار می‌رود.

 

مرحله 4. Credential Access (دسترسی به اطلاعات حساس)

پس از برقراری ارتباط، اسکریپت مخرب تلاش می‌کند اطلاعات حساس سیستم، مانند Credentialها و رمزهای عبور ذخیره‌شده را استخراج کند. این مرحله معمولاً مقدمه‌ای برای گسترش حمله در شبکه است.

 

واکنش EDR

  • تشخیص رفتار غیرعادی : شناسایی اجرای غیرطبیعی PowerShell توسط Word
  • Kill Process: متوقف‌سازی فرآیندهای مخرب فعال
  • Isolate Endpoint: ایزوله‌کردن سیستم آلوده از شبکه برای جلوگیری از گسترش حمله
  • ثبت شواهد (Forensic): ذخیره کامل رویدادها، لاگ‌ها و Timeline حمله برای تحلیل‌های بعدی

 

نقش EDR در SOC و تیم Blue Team

EDR  یکی از ابزارهای اصلی برای تیم‌های SOC و Blue Team محسوب می‌شود. از این رو، اهمیت زیادی در امنیت سازمان دارد. این سیستم با نظارت مستمر بر Endpointها، قابلیت‌های زیر را مهیا می‌سازند:

  • تحلیل ریشه‌ای حمله (Root Cause Analysis)
    ابزار EDR، بررسی دقیق منشأ حملات و شناسایی مسیر نفوذ مهاجم را ممکن میسازد. این ویژگی به تیم امنیت کمک می‌کند تا علاوه بر توقف حمله جاری، علت اصلی آن را نیز برطرف نماید.
  • تسهیل جستجوی تهدیدات (Threat Hunting)
    با استفاده از داده‌های جمع‌آوری‌شده و Telemetry، تیم Blue Team می‌تواند به‌صورت فعالانه تهدیدهای پنهان را شناسایی نموده و حملات بالقوه را قبل از بروز آسیب واقعی کشف نماید.
  • کاهش زمان پاسخ‌دهی  (Incident Response Time)
    EDR با ارائه هشدارهای فوری و امکانات واکنش سریع مانند Kill Process یا ایزوله کردن Endpoint ، زمان واکنش تیم امنیتی را به حداقل می‌رساند و از گسترش تهدید جلوگیری می‌کند.

 

مقایسه معماری EDR و SIEM

ویژگی

 EDR

SIEM
تمرکز اصلی Endpointها شبکه، سرورها، اپلیکیشن‌ها
نوع داده Telemetry رفتاری، Process Execution، فایل‌ها، ماکروها لاگ‌ها، Eventها، Syslog، جریان شبکه
تحلیل تهدید Real-time، مبتنی بر رفتار و زنجیره حمله (Attack Chain) جمع‌آوری و correlation رویدادها از منابع مختلف
پاسخ‌دهی Active Response: Kill Process, Isolate Endpoint, Quarantine Passive Response: Alerts, Dashboards, Incident Ticketing
کاربرد تیم امنیتی Blue Team، SOC برای واکنش سریع به حملات Endpoint SOC  برای تحلیل گسترده و شناسایی رخدادهای پیچیده شبکه
زمان پاسخ‌دهی کوتاه (ثانیه تا دقیقه) نسبی (دقیقه تا ساعت)
پوشش تهدید حملات پیشرفته، بدافزار، Fileless Malware، APT تهدیدات شبکه، رخدادهای سیستم، Compliance

 

در واقع، EDR و SIEM مکمل یکدیگرند:

  1.  داده‌های کلیدی Endpoint توسط EDR جمع‌آوری می‌شوند (مثل اجرای فرآیندها، دسترسی فایل‌ها، شبکه محلی).
  2. این داده‌ها به SIEM منتقل می‌شوند تا correlation گسترده با دیگر لاگ‌ها و رویدادهای شبکه انجام شود.
  3. SIEM  با تحلیل سطح بالا می‌تواند الگوهای تهدید سازمانی و Compliance را گزارش دهد، در حالی که EDR روی تشخیص و پاسخ سریع به حمله در Endpoint متمرکز است. پس، ترکیب این دو باهم، شناسایی، تحلیل و مهار سریع تهدید را در SOC ممکن می‌سازد.

 

محدودیت‌ها و چالش‌های EDR

  • نیاز به نیروی متخصص:
    پیاده‌سازی و مدیریت EDR نیازمند تیم‌های امنیتی ماهر است که بتوانند داده‌های Telemetry، رفتارهای مشکوک و حملات شناسایی شده را تحلیل و پاسخ‌دهی کنند.

 

  • مدیریت حجم بالای هشدارها (Alert Management) :
    EDR به‌طور مداوم فعالیت‌ها و رفتارهای غیرمعمول را پایش می‌کند، در نتیجه، بعضی اوقات باعث تولید هشدارهای زیاد و False Positive می‌شود. مدیریت و اولویت‌بندی این هشدارها برای جلوگیری از خستگی تیم امنیتی، یک چالش مهم است.

 

  • مصرف منابع سیستم:
    جمع‌آوری داده‌های دقیق و تحلیل لحظه‌ای فرآیندها و شبکه، می‌تواند مصرف CPU، حافظه و فضای ذخیره‌سازی سیستم‌ها را افزایش دهد. این موضوع باید در طراحی و پیکربندی EDR مدنظر قرار گیرد تا عملکرد Endpointها تحت تأثیر قرار نگیرد.

 

تفاوت EDR ،XDR و MDR

در معماری امنیت سایبری مدرن، مفاهیم EDR، XDR و MDR به‌عنوان راهکارهای تشخیص و پاسخ‌دهی به تهدیدات مطرح هستند. اگرچه این سه مفهوم به هم مرتبط‌اند، اما از نظر دامنه دید، سطح پوشش، مدل عملیاتی و مخاطب هدف تفاوت‌های اساسی دارند.

 

EDR (Endpoint Detection & Response)

EDR راهکاری است که تمرکز اصلی آن امنیت نقاط پایانی (Endpoint) است. هدف EDR ایجاد دید عمیق (Deep Visibility) از رفتار سیستم‌عامل و پردازش‌ها برای شناسایی تهدیدات پیشرفته می‌باشد.

ویژگی‌های کلیدی EDR:

  • تمرکز صرف بر Endpoint (سیستم کاربر و سرور)
  • جمع‌آوری Telemetry سطح پایین (Process، Registry، Network)
  • تشخیص مبتنی بر رفتار (Behavior-based Detection)
  • قابلیت Incident Response روی همان Endpoint
  • مناسب برای Threat Hunting و Forensic Analysis

مزایا:

  • دید بسیار دقیق از فعالیت سیستم
  • کشف حملات Fileless و Zero-day
  • کنترل کامل برای تیم امنیت داخلی

محدودیت‌ها:

  • دید محدود به Endpoint (بدون شبکه، ایمیل، کلود)
  • نیاز به تیم متخصص SOC برای تحلیل Alertها

مخاطب هدف:

  • سازمان‌هایی با تیم امنیت داخلی
  • دانشجویان و کارشناسان امنیت برای یادگیری عملی

 

XDR (Extended Detection & Response)

XDR نسخه تکامل‌یافته EDR است که به‌جای تمرکز فقط روی Endpoint، چندین لایه امنیتی را به‌صورت یکپارچه تحلیل می‌کند.

لایه‌هایی که XDR پوشش می‌دهد:

  • Endpoint (EDR)
  • Network
  • Email Security
  • Cloud Workload
  • Identity (IAM / AD)

ویژگی‌های کلیدی  XDR :

  • همبستگی (Correlation) رویدادها از منابع مختلف
  • کاهش False Positive با Context بیشتر
  • نمایش End-to-End Attack Chain
  • پاسخ‌دهی هماهنگ در چند لایه

مزایا:

  • دید جامع از کل زیرساخت
  • تشخیص سریع‌تر حملات پیچیده و چندمرحله‌ای
  • کاهش فشار روی تیم SOC

محدودیت‌ها:

  • وابستگی به Vendor (Vendor Lock-in)
  • پیچیدگی پیاده‌سازی
  • هزینه بالاتر نسبت به EDR

مخاطب هدف:

  • سازمان‌های متوسط و بزرگ
  • محیط‌های Cloud و Hybrid

 

MDR (Managed Detection & Response)

MDR یک مدل سرویس امنیتی است، نه صرفاً یک محصول. در MDR، یک شرکت ثالث مسئول مانیتورینگ، تحلیل و پاسخ‌دهی به تهدیدات می‌شود.

MDR معمولاً بر پایه EDR یا XDR ارائه می‌شود اما تفاوت اصلی آن، وجود نیروی انسانی متخصص است.

ویژگی‌های کلیدی MDR:

  • مانیتورینگ 24/7
  • تحلیل Alert توسط تحلیل‌گران SOC
  • Threat Hunting فعال
  • Incident Response واقعی توسط انسان

مزایا:

  • عدم نیاز به تیم امنیت داخلی
  • کاهش ریسک خطای انسانی
  • پاسخ سریع به حوادث

محدودیت‌ها:

  • وابستگی به شرکت ارائه‌دهنده سرویس
  • کنترل کمتر روی جزئیات فنی

مخاطب هدف:

  • شرکت‌های کوچک و متوسط
  • سازمان‌هایی بدون SOC داخلی

 

ویژگی EDR