EDR 기능을 제공하는 솔루션을 도입 검토 시에는 다음과 같은 내용을 고려해야 합니다.

1. EDR 기능을 어떠한 엔드포인트 보안 영역에 적용할지 결정해야 합니다.
EDR 기능을 통해서 조직의 내부 디지털 데이터의 유출을 모니터링하고 제어할 것인지, 악성코드의 공격으로 부터 조직의 디지털 자산을 보호하는데 집중할 것인지 등, 그 목적을 명확하게 판단해야 합니다.

2. 100 % 가시성(Visibility)이 제공되는지 확인해야 합니다.
시장에는 수 많은 EDR 기능을 제공하는 솔루션들이 존재합니다. 하지만, EDR 기능의 핵심인 가시성을 100% 제공해 주는 솔루션은 몇 개 뿐입니다. 즉, 이상 징후로 판단되는 경우에만 관련 전/후 로그를 수집하는 솔루션들은 진정한 EDR 솔루션이라고 할 수 없습니다. 기본적으로 엔드포인트에서 발생하는 모든 실행 가능한 파일들 및 문서들에 대한 라이프사이클 정보를 100% 수집할 수 있어야 합니다.

3. 의심스러운 행위에 대한 Timeline 기준의 상관관계 정보가 제공되는지 확인해야 합니다.

4. ML 기능을 제공한다면 수 많은 로그들 중에서 중요한 내용만 확인할 수 있는 업무의 편의성이 제공될 것입니다.

5. 그 외에 “경고 분류와 필터링”, “다중위협보호”, “다른 솔루션과의 연동” 등을 고려해야 합니다.

• 
• 디지탈가디언(Digital Guardian)은 EDR 기능을 제공하는 엔드포인트 기반 차세대 DLP 입니다. 전통적인 DLP 솔루션들은 엔드포인트 외부로 데이터가 유출되려는 시점에 문서의 내용을 검색하여 제어하는 기능을 제공합니다. 하지만 디지탈가디언(Digital Guardian)은 엔드포인트에서 발생하는 모든 실행 가능한 파일들에 대한 모든 로그 및 문서들에 대한 라이프사이클 로그를 기반으로 데이터 유출을 모니터링 제어하기 때문에 기존의 경쟁 제품들에 비해 높은 유연성과 넓은 제어 기능을 제공합니다.

• 
• 크라우드스트라이크(CrowdStrike)는 전통적인 백신 솔루션들의 단점을 해결해 주는 NGAV 기능과 악성코드의 행위를 추적하여 탐지 및 제어하는 EDR 기능을 제공하는 솔루션입니다. 크라우드스트라이크(CrowdStrike)는 단일 에이전트로 NGAV, EDR 포렌식 분석, DarkWeb/DeepWeb 모니터링 기능을 제공해 주는 솔루션입니다.

• 
• 디지털가디언(Digital Guardian)은 단일에이전트를 통해 EDR 모니터링(정형, 비정형 데이터 전체 로그 수집) 기능을 기반으로 유입되거나 유출되는 데이터들에 대한 Endpoint DLP 기능을 제공합니다. 또한, 매체제어 기능을 통합하여, 고객의 에이전트 기반 보안솔루션의 수를 획기적으로 줄일 수 있습니다.
  팔로알토, 파이어아이와 같은 네트워크 기반 APT 솔루션과의 연동을 통해 엔드포인트 영역에서 대신 보안 처리를 수행하는 역할을 제공합니다.

• 
• 크라우드스트라이크(CrowdStrike)는 Falcon 플랫폼의 강력한 기능을 기반으로 단일 에이전트를 통해 EPP, EDR 기능을 기본적으로 제공하며, 추가적으로 Darkweb/Deepweb 모니터링 기능을 제공합니다.
  SaaS 기반 보안 솔루션으로, 랜섬웨와 같은 공격으로 인해 고객사의 주요 서버들(보안 관련 서버들)이 셧다운되는 상황을 방지할 수 있도록 도와줍니다. 최소한 보안 솔루션들에 대한 관리 서버는 어떠한 상황에도 무중단으로 운영되어야 하며, 이러한 서비스를 위해서 CrowdStrike는 SaaS 기반의 보안 솔루션을 제공합니다.