具体的には、パソコンやサーバーの状況および通信内容などを監視し、異常、あるいは不審な挙動があれば管理者に通知します。
EDRは、よくEPPと比較される事が多く、EPP(Endpoint Protection Platform)とは、一般的にはアンチウイルス(AV)ソフトやウイルス対策ソフトと呼ばれます。これらの製品はパターンマッチングなどによって、マルウェアがデバイスに侵入することを防ぎます。
しかしこの方式だと既知のマルウェアは防げても、未知のマルウェアは防ぎきれません。
EDRはEPPの仕組みで防ぎきれなかったマルウェアを検知し、デバイスの隔離などの対処を行うための仕組みです。
具体的には、パソコンやサーバーの状況および通信内容などを監視し、異常、あるいは不審な挙動があれば管理者に通知します。管理者は通知を受けた後、EDRで取得されたパソコンや通信の状況を示したログを分析して対策を講じます。
このEDRが注目される背景として、既存のセキュリティソリューションではサイバー攻撃を完全に防ぎきることが難しいという状況があります。そのため、サイバー攻撃を阻止するだけでなく、内部に侵入された場合を想定し、迅速な対応によって被害の拡大を防ぐことを目的としたEDRが広まりつつあります。