• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

EDR vs IDS/IPS

Italiano
2
3
1.5k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • F
    federicop
    last edited by Aug 5, 2021, 7:41 PM

    Da qualche tempo sto approfondendo il discorso EDR.
    Da quanto ho calpito sembrerebbe non esserci molta differenza sul funzionamento di un EDR rispetto ad IDS/IPS.

    Miki sembra di aver capito che non esiste un vero EDS “puro” ma, esistono pacchetti full (firewall, antivirus, edr ecc)

    Ora visto che volevo testare la cosa mi chiedevo se avevo capito bene e le differenze tra i due sistemi stiano nelle “regole di alerta” dei pacchetti, oppure è totalmente diverso.
    Se diverso, quali sarebbero le principali differenze?
    esiste un plugin per pfsense come snort o suricata?
    Conoscete un EDR open-source ? Magari da testare come macchina virtuale?

    Grazie…. Speriamo di innescare una discussione proficua!

    K 1 Reply Last reply Aug 11, 2021, 9:28 PM Reply Quote 0
    • K
      kiokoman LAYER 8 @federicop
      last edited by Aug 11, 2021, 9:28 PM

      @federicop

      sono acronimi che racchiudono più software/comportamenti

      EDR Endpoint Detection and response
      la sua funzione è quella di monitorare e rilevare comportamenti sospetti e agire di conseguenza, si puo' dire che è la seconda linea di difesa

      ips/ids antivirus / antimalware etc fanno parte delle EPP

      EPP Endpoint protection platform
      è la prima linea di difesa di un sistema, superate quelle in pratica puoi solo rimediare

      acronimi per lo più commerciali, può essere benissimo che uno includa le funzioni dell'altro e viceversa
      pfsense con suricata/snort/antivirus è un EPP ci aggiunti telegraf e grafana e qualche script che analizzi i log e diventa anche parte di un EDR

      ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
      Please do not use chat/PM to ask for help
      we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
      Don't forget to Upvote with the 👍 button for any post you find to be helpful.

      F 1 Reply Last reply Aug 12, 2021, 8:41 AM Reply Quote 0
      • F
        federicop @kiokoman
        last edited by Aug 12, 2021, 8:41 AM

        @kiokoman quindi "sintetizzando" il tuo ragionamento, che a livello "accademico" conoscevo (differenza tra EPP ed EDR), la sostanziale differenza sta nel ragionemnto analisi "log", perche il blocco del pericolo è identico tra snort/suricata - ERP.

        Cioè la reale prima linea di difesa (client fa cosa anomala, quinidi lo blocco), provengono dagli stessi rules.

        Per gli scrip, immagino che tu indenda delle regole che inviino segnali al verificarsi di un determinato evento dei log, cosi da avere segnalazioni in tempo reale.

        in sostanza un pfsense può diventare un EDR inserendo degli script.....

        1 Reply Last reply Reply Quote 0
        3 out of 3
        • First post
          3/3
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.