# EDR - Endpoint Detection and Response

## 1. What is EDR?

Endpoint Detection and Response (EDR), còn được gọi là Endpoint Threat Detection and Response (ETDR), là một giải pháp bảo mật điểm cuối tích hợp kết hợp giám sát và thu thập dữ liệu điểm cuối liên tục, theo thời gian thực với khả năng phân tích và phản hồi tự động dựa trên quy tắc.

## 2. Analysis with EDR

Một số giải pháp EDR thường được sử dụng tại nơi làm việc: CarbonBlack, SentinelOne và FireEye HX.

Để hiểu những gì bạn có thể làm với EDR với tư cách là nhà phân tích, hãy xem "Endpoint Security" trên LetsDefend.

<figure><img src="/files/fOhKNV84OcfYYWIExNL1" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/8DEVf3xzyAZW1tksd7V7" alt=""><figcaption></figcaption></figure>

## 3. Live Investigation

Tiếp theo, bạn có thể nhấp vào nút Connect và truy cập vào chính máy để tiếp tục phân tích.

<figure><img src="/files/2XSe9zKxdfa5KeMY3Ybp" alt=""><figcaption></figcaption></figure>

### Containment (ngăn chặn)

Bạn cần cách ly máy bị tấn công khỏi mạng. Có hai lý do quan trọng để làm điều này: để ngăn chặn kẻ tấn công kết nối với mạng nội bộ và di chuyển khắp mạng nội bộ.&#x20;

Do đó, thiết bị nên được cách ly khỏi mạng bên trong và bên ngoài cho đến khi các lỗ hổng được sửa chữa và thiết bị đã sẵn sàng để sử dụng.&#x20;

Bạn có thể đảm bảo sự cách ly bằng cách sử dụng tính năng ngăn chặn của giải pháp EDR.&#x20;

Tính năng này cho phép thiết bị được chọn chỉ giao tiếp với trung tâm EDR. Điều này có nghĩa là ngay cả khi thiết bị bị cách ly khỏi mạng, bạn vẫn có thể tiếp tục phân tích của mình.

<figure><img src="/files/3dUNHCMoyG0r7A4zMvJf" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/edr-endpoint-detection-and-response.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.