Выбор EDR — это не выбор антивируса. Здесь мало сравнить «обнаружение угроз» на слайде презентации: важно понять, как решение ведет себя на реальной инфраструктуре под нагрузкой, что именно попадает в телеметрию, и как аналитик взаимодействует с системой во время инцидента.
Эта статья — практический ориентир для специалистов ИБ, которые уже понимают, что EDR отличается от антивируса, и готовятся к сравнению конкретных решений.
Глубина телеметрии и видимость конечных точек
Первый вопрос при оценке EDR — что именно агент фиксирует на хосте.
Минимальный набор: процессы, файловые операции, сетевые соединения, события реестра (Windows), загрузка модулей. Полноценный EDR добавляет межпроцессное взаимодействие, инъекции в память, трассировку системных вызовов, DNS-запросы и активность PowerShell и скриптовых движков.
Сравнивая решения, запрашивайте не маркетинговые категории, а конкретный список собираемых артефактов. Именно от этого зависит, насколько хорошо аналитик восстановит цепочку атаки после инцидента.
Покрытие MITRE ATT&CK
Стандарт MITRE ATT&CK дает общий язык для сравнения: какие техники и субтехники атаки решение детектирует и блокирует.
Запросите у вендора актуальный mapping — в виде матрицы ATT&CK Navigator, а не словесного описания. Обратите внимание на покрытие техник уклонения (Defense Evasion, TA0005), работы в памяти (Process Injection, T1055) и горизонтального перемещения (Lateral Movement, TA0008). Именно эти тактики чаще всего применяют в целевых атаках.
Если вендор не предоставляет mapping по запросу — это сигнал.
Нагрузка агента на хост
Агент EDR работает на каждом хосте и конкурирует за ресурсы с прикладными процессами. В рабочих средах недопустимо, чтобы агент заметно влиял на производительность пользователей или систем.
При пилоте измеряйте:
- потребление CPU в штатном режиме и при сканировании
- объем занятой памяти
- задержку при запуске процессов (особенно критично на серверах 1С, Oracle, высоконагруженных СУБД)
- объем исходящего трафика до консоли управления
Попросите вендора показать настройки квотирования ресурсов агента — хорошее решение дает гранулярный контроль нагрузки отдельно для каждой группы хостов.
Интеграция с инфраструктурой ИБ
EDR не работает в изоляции. Его ценность вырастает, когда события из него попадают в SIEM и запускают реагирование через SOAR.
Чек-лист интеграций:
- экспорт событий в SIEM (syslog, CEF, JSON, API)
- готовые коннекторы к распространенным SIEM-платформам
- webhook и API для интеграции с SOAR или ticketing-системами
- импорт индикаторов компрометации (IOC) из Threat Intelligence-фидов
- поддержка STIX/TAXII для обмена IOC
Если организация строит собственный SOC — оцените наличие полноценного API для автоматизации: от выгрузки событий до отправки команд изоляции хоста.
Возможности реагирования на инциденты
Детектирование без реагирования — это половина пути. Оцените, что аналитик делает прямо из консоли EDR во время инцидента:
- изолирует хост от сети (network containment) без потери управления агентом
- запускает сбор forensic-артефактов: volatile memory, файловые артефакты, журналы событий
- удаляет вредоносный файл или завершает процесс
- откатывает изменения реестра или файловой системы
- выполняет произвольную команду или скрипт на хосте через remote shell
Remote shell — мощный и рискованный инструмент. Уточните, как решение контролирует доступ к нему: роли, журналирование, MFA.
Управление и масштабирование
Для крупных инфраструктур важны:
- централизованное управление политиками по группам хостов (подразделения, ОС, роли серверов)
- поддержка разных ОС: Windows, Linux, macOS; серверные и рабочие станции
- возможность развертывания в multi-tenant или geo-distributed конфигурации
- скорость раскатки агента при массовом развертывании через GPO, Ansible, SCCM
Уточняйте поддержку устаревших ОС, если в инфраструктуре есть Windows Server 2008 или legacy-Linux — это частая проблема при крупных внедрениях.
Как структурировать пилот
Пилот — ключевой этап выбора. Без него сложно отличить маркетинговые заявления от реального поведения продукта на вашей инфраструктуре.
Рекомендуемый сценарий пилота на 4–6 недель:
Неделя 1–2 — базовое развертывание. Установите агенты на репрезентативной выборке хостов: рабочие станции пользователей, несколько серверов Windows и Linux, один-два критических сервера (1С, БД). Убедитесь, что агент не влияет на производительность критических систем — снимите базовые метрики нагрузки.
Неделя 3–4 — тест обнаружения. Запустите контролируемую эмуляцию атаки через Atomic Red Team или Caldera. Зафиксируйте, какие техники MITRE ATT&CK детектирует система, за какое время, и с каким уровнем ложных срабатываний на вашем специфическом ПО.
Неделя 5–6 — интеграция и реагирование. Настройте экспорт событий в SIEM, проверьте качество данных в SIEM-сайде, отработайте процедуру изоляции хоста в режиме учений. Оцените удобство консоли в реальном сценарии расследования.
По итогам пилота у вас будет объективная база для сравнения, а не таблица из маркетинговых буклетов вендоров.
Частые вопросы
Нужно ли менять антивирус при внедрении EDR
Зависит от архитектуры решения. Часть EDR включает встроенный AV-движок и заменяют сигнатурный антивирус полностью. Другие работают рядом, не конфликтуя. Уточняйте у вендора совместимость — и проверяйте фактически на пилоте, а не только по документации.
Что важнее — количество детектов или их точность
Точность важнее. Высокий уровень ложных срабатываний перегружает аналитиков и снижает доверие к системе. Смотрите на уровень false positive в пилоте на вашей инфраструктуре, а не на синтетических тестах.
Как оценить EDR в пилоте за 2–4 недели
Сфокусируйтесь на трех сценариях: тест с реальным red team (или эмуляция через Caldera на базе MITRE ATT&CK Evaluations), анализ инцидента по заранее подготовленному кейсу и проверка нагрузки на критических серверах. Этот набор даст объективную картину лучше, чем вендорская демонстрация.
Как считать TCO для EDR
Лицензия — только часть стоимости. Добавьте инфраструктуру для консоли (серверы, хранилище телеметрии), расходы на интеграцию с SIEM и SOAR, обучение аналитиков и инженеров, а также трудозатраты на администрирование политик. Иногда облачная SaaS-модель снижает TCO, но требует оценки требований к локализации данных.
Как важна локализация данных для выбора EDR
Если организация работает в регулируемых отраслях (КИИ, финансы, госсектор), уточняйте, где физически хранится телеметрия: в российском ЦОД, в облаке вендора за рубежом или on-premise. Это влияет на соответствие 152-ФЗ, 187-ФЗ и отраслевым стандартам.
Практика на стендах BI.ZONE Cybersecurity Labs
Теория выбора критериев — первый шаг. Второй — работа на реальной инфраструктуре: развертывание агентов, настройка политик обнаружения, анализ цепочек атак и отработка процедур реагирования.
На курсе Проектирование и внедрение BI.ZONE EDR вы работаете с продуктом в реальных сценариях на изолированных стендах — от первоначального развертывания до расследования инцидента. Это дает предметное понимание технических ограничений и архитектурных решений до того, как вы принимаете их в продакшне.