EDR (Endpoint Detection and Response) ist eine Sicherheitstechnologie, die Endgeräte kontinuierlich überwacht, verdächtiges Verhalten erkennt und automatisierte Reaktionen ermöglicht. EDR geht über klassischen Virenschutz hinaus, indem es Verhaltensanalyse, maschinelles Lernen und Threat Intelligence kombiniert.
EDR-Agenten zeichnen Prozessaktivitäten, Netzwerkverbindungen, Dateiänderungen und Registry-Zugriffe auf. Bei Verdacht kann das System automatisch Prozesse beenden, Geräte isolieren oder forensische Daten sichern. Für Security-Teams liefert EDR die Grundlage für Incident Response: Die aufgezeichnete Telemetrie ermöglicht es, den Verlauf eines Angriffs lückenlos nachzuvollziehen. In Kombination mit einem SIEM entsteht ein umfassendes Lagebild.