Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    EDR vs IDS/IPS

    Scheduled Pinned Locked Moved
    Italiano
    2
    3
    1.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • federicopF
      federicop
      last edited by

      Da qualche tempo sto approfondendo il discorso EDR.
      Da quanto ho calpito sembrerebbe non esserci molta differenza sul funzionamento di un EDR rispetto ad IDS/IPS.

      Miki sembra di aver capito che non esiste un vero EDS “puro” ma, esistono pacchetti full (firewall, antivirus, edr ecc)

      Ora visto che volevo testare la cosa mi chiedevo se avevo capito bene e le differenze tra i due sistemi stiano nelle “regole di alerta” dei pacchetti, oppure è totalmente diverso.
      Se diverso, quali sarebbero le principali differenze?
      esiste un plugin per pfsense come snort o suricata?
      Conoscete un EDR open-source ? Magari da testare come macchina virtuale?

      Grazie…. Speriamo di innescare una discussione proficua!

      kiokomanK 1 Reply Last reply Reply Quote 0
      • kiokomanK
        kiokoman LAYER 8 @federicop
        last edited by

        @federicop

        sono acronimi che racchiudono più software/comportamenti

        EDR Endpoint Detection and response
        la sua funzione è quella di monitorare e rilevare comportamenti sospetti e agire di conseguenza, si puo' dire che è la seconda linea di difesa

        ips/ids antivirus / antimalware etc fanno parte delle EPP

        EPP Endpoint protection platform
        è la prima linea di difesa di un sistema, superate quelle in pratica puoi solo rimediare

        acronimi per lo più commerciali, può essere benissimo che uno includa le funzioni dell'altro e viceversa
        pfsense con suricata/snort/antivirus è un EPP ci aggiunti telegraf e grafana e qualche script che analizzi i log e diventa anche parte di un EDR

        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
        Please do not use chat/PM to ask for help
        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

        federicopF 1 Reply Last reply Reply Quote 0
        • federicopF
          federicop @kiokoman
          last edited by

          @kiokoman quindi "sintetizzando" il tuo ragionamento, che a livello "accademico" conoscevo (differenza tra EPP ed EDR), la sostanziale differenza sta nel ragionemnto analisi "log", perche il blocco del pericolo è identico tra snort/suricata - ERP.

          Cioè la reale prima linea di difesa (client fa cosa anomala, quinidi lo blocco), provengono dagli stessi rules.

          Per gli scrip, immagino che tu indenda delle regole che inviino segnali al verificarsi di un determinato evento dei log, cosi da avere segnalazioni in tempo reale.

          in sostanza un pfsense può diventare un EDR inserendo degli script.....

          1 Reply Last reply Reply Quote 0
          • First post
            Last post