Saltar al contenido principal

EDR (Endpoint Detection & Response)

Agente endpoint que combina kernel callbacks + ETW + AMSI + signature + behavioral ML para detectar ofensiva (no sólo malware estático).

Categoría: Defensa 🎯 Trinchera — Agente endpoint que combina kernel callbacks + ETW + AMSI + signature + behavioral ML para detectar ofensiva (no sólo malware estático). Ejemplos: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Cortex XDR. 🔗 Kill chain (defensiva) — Detect → respond automáticamente (kill process, isolate host, alert SOC). Responder humano hace forensics + remediación. 📡 Huella defensiva — El EDR es la huella defensiva. Centraliza la telemetría que generan todas las técnicas ofensivas. ⚠️ Falso amigo — Tu EDR es ciego en partes que no instrumentas (LSASS sin SACL, network egress sin proxy con DPI). 🛡️ Hardening del propio EDR — PPL Anti-Malware, ETW-TI subscription, kernel callbacks, tamper protection activado, out-of-band auditing del EDR mismo.
Volver al glosario completo Última actualización: 2026-06-11