Wat is Endpoint Detection & Response?

24 maart 2026
Auteur: TIP-redactie
Leestijd: 12 minuten
Categorie: Security

Ga direct naar

Hoe gevaarlijk is het internet?
Wat doet traditionele beveiligingssoftware?
Wat doet EDR?
Hoe verschilt EDR van een beveiligingssuite?
Heb ik EDR of een security suite nodig?
Zoek je een veilige omgeving voor jouw beveiligde endpoints?

Om veilig te werken heb je bescherming van een security suite nodig. Die bevat een klassieke virusscanner en alle extra beschermingslagen die daar de afgelopen decennia aan zijn toegevoegd. Maar je kunt ook EDR (Endpoint Detection and Response) inzetten. Is dat hetzelfde als een security suite, of beschermt het tegen iets anders? Wat is het verschil tussen EDR en malwarebescherming?

Hoe gevaarlijk is het internet?

Zowel EDR als security suites beschermen zogenaamde endpoints (laptops, desktops en workstations) tegen de meestvoorkomende dreigingen op het internet. Die dreigingen kun je onderverdelen in drie hoofdgroepen:

Kwaadaardige software
Misbruik van kwetsbaarheden
Ongeautoriseerde systeemtoegang

Bij dit lijstje is een nuance nodig. Dreigingen laten zich niet goed in categorieën vangen. Vaak worden verschillende aanvalstechnieken en handelingen gecombineerd, of zet één aanval het systeem open voor een andere aanval. De bovenstaande indeling is een vereenvoudiging die helpt om het overzicht te bewaren.

Kwaadaardige software

Onder kwaadaardige software valt het klassieke virus. Deze code verstopt zich in gewone code en slaat toe als iemand de geïnfecteerde toepassing start. Maar andere vormen van malware (wormen, Trojans, etc.) zijn in deze categorie ook vertegenwoordigd. Zodra de code start, kan het ongewenste activiteiten uitvoeren zoals data voor losgeld versleutelen (ransomware), schijven wissen of het systeem inzetten voor aanvallen op andere machines.

Misbruik van kwetsbaarheden

De code van toepassingen bevat fouten die soms uit te buiten zijn om zonder toestemming toegang tot een systeem te krijgen. Daarom is het up-to-date houden van besturingssystemen en toepassingen zo belangrijk. Een aanvaller kan via een kwetsbaarheid toegang tot het systeem krijgen en dan ongewenste activiteiten uitvoeren. Dat kan onder meer het installeren van malware zijn.

Ongeautoriseerde systeemtoegang

Bij het uitbuiten van een kwetsbaarheid is uiteraard ook sprake van ongeautoriseerde systeemtoegang. In deze derde categorie vallen alle aanvallen die beginnen met misbruik van verloren of gestolen wachtwoorden, toegangstokens of andere manieren om legitiem op een systeem in te loggen. Ook hier geldt dat er na toegang allerlei ongewenste activiteiten uitgevoerd en toepassingen geïnstalleerd kunnen worden.

Wat doet traditionele beveiligingssoftware?

De klassieke virusscanner controleert programma’s voordat ze worden uitgevoerd op ongewenste code. Om die code te herkennen, bevat de scanner een database met bekende patronen (signatures). Komt een patroon overeen met een deel van de code in een programma, dan grijpt de beveiliging in en wordt het bestand geblokkeerd of in quarantaine geplaatst.

Meer dan een virusscanner

Moderne beveiligingssuites doen meer dan alleen scannen op bekende virussen. De signature-database vormt nog steeds een belangrijke basis, maar voordat een programma volledig wordt uitgevoerd, vinden al meerdere controles plaats.

Bij binnenkomst controleert de software bijvoorbeeld de reputatie van een bestand. Onbekende of verdachte bestanden worden vergeleken met actuele dreigingsinformatie bij de leverancier. Daarnaast analyseert een heuristische engine kenmerken van de code om te beoordelen of het gedrag mogelijk schadelijk is. Zo kan ook nieuwe of nog onbekende malware worden tegengehouden.

Firewall, mailfilter en andere beschermingslagen

Een beveiligingssuite bestaat doorgaans uit meerdere lagen. Een ingebouwde firewall controleert inkomend en uitgaand netwerkverkeer. Een webfilter waarschuwt of blokkeert bij verdachte websites en een mailfilter onderschept spam, phishingmails en geïnfecteerde bijlagen.

Daarnaast bevatten moderne suites extra beschermingsmechanismen die voorkomen dat beveiliging wordt uitgeschakeld of dat malware automatisch met het systeem opstart. Denk aan bescherming tegen het wijzigen van systeeminstellingen of het manipuleren van opstartprocessen.

Preventieve bescherming

De bescherming van een beveiligingssuite is vooral preventief. Dreigingen worden geblokkeerd voordat ze zich kunnen uitvoeren of verspreiden. Wanneer schadelijke software toch wordt gedetecteerd, probeert de suite deze automatisch te verwijderen of onschadelijk te maken. Lukt dat niet, dan wordt de uitvoering ervan tegengehouden.

Wat doet EDR?

Endpoint Detection and Response (EDR) staat net als een beveiligingssuite op een endpoint. Waar een beveiligingssuite scant op dreigingen en probeert die te blokkeren, kijkt EDR vooral naar wat het systeem doet en grijpt het in als dat gedrag verdacht of afwijkend is.

Continu gegevens verzamelen

EDR verzamelt continu gegevens over processen, gebruikersacties en netwerkverbindingen. Het legt vast welke programma’s elkaar starten, welke commando’s worden uitgevoerd en welke externe systemen worden benaderd. Zo ontstaat een tijdlijn van wat er op een systeem gebeurt.

Context bepalen

EDR gebruikt al die informatie om verschillende systeemacties in elkaars context te plaatsen. Eén onverwacht proces en een nieuwe netwerkverbinding zijn niet verdacht. Maar als een document plotseling een systeemtool start en vervolgens verbinding wil maken met een onbekende server, is er wel reden om eens goed te kijken. EDR herkent dit soort gedrag als teken van een mogelijke aanvalsketen. De focus ligt niet op één toepassing, maar op samenhangend gedrag.

Automatisch ingrijpen en informatie opslaan

Bij afwijkend gedrag kan EDR automatisch ingrijpen. Denk aan het beëindigen van een proces, het blokkeren van een netwerkverbinding of een endpoint tijdelijk isoleren van de rest van het netwerk. Tegelijkertijd slaat het uitgebreide informatie op. Beheerders kunnen dan later analyseren wat er precies is gebeurd en of andere systemen risico lopen.

Reactief in plaats van preventief

Waar traditionele beveiliging vooral preventief werkt, kan EDR direct reageren. Het maakt incidenten zichtbaar en neemt gerichte tegenacties. EDR vormt daarom niet alleen een verdedigingslaag, maar is ook een hulpmiddel om aanvallen te doorgronden en de impact te beperken.

Hoe verschilt EDR van een beveiligingssuite?

Het verschil tussen EDR en een beveiligingssuite is het eenvoudigst toe te lichten met een voorbeeld. Stel dat je op een Windows-machine een phishingmail ontvangt met een Word-document dat een kwaadaardige macro bevat. Is die besmetting bekend, dan plaatst de beveiligingssuite de mail of bijlage in quarantaine en merk je er niets van. In dat geval heeft EDR weinig te doen.

Onbekende dreiging vs. beveiligingssuite

Maar wat als het document een besmette macro bevat die nog niet wordt herkend? De ontvanger opent het document. Windows start winword.exe. Word toont een leeg document, maar de macro start op de achtergrond powershell.exe.

PowerShell downloadt vervolgens een payload van een externe server rechtstreeks in het geheugen. Er wordt geen bestand op de schijf geplaatst. De payload probeert credentials op te vragen via het LSASS-proces en deze terug te sturen naar de externe server.

Omdat er geen bekende malware-signaturen zijn aangetroffen en er geen kwaadaardig bestand op de schijf verschijnt, ziet een traditionele beveiligingssuite mogelijk geen directe aanleiding om in te grijpen.

Onbekende dreiging vs. EDR

Op een systeem met EDR verloopt deze klassieke fileless aanval anders. Zodra de gebruiker het Word-document opent, registreert EDR dat Word PowerShell probeert te starten. Dat is een ongebruikelijke combinatie. Daarna detecteert EDR verdachte command line-argumenten, gevolgd door een netwerkverbinding naar een onbekend IP-adres. Wanneer PowerShell vervolgens probeert credentials uit het LSASS-proces te lezen, wordt het gedrag duidelijk afwijkend.

Ingrijpen en analyseren

EDR beoordeelt uit de samenhang tussen deze stappen dat het om een aanvalspatroon gaat (credential theft). Het isoleert het endpoint isoleren van het netwerk, beëindigt het PowerShell-proces, blokkeert de externe verbinding en stuurt een waarschuwing naar systeembeheer.

De beheerder kan in de console de volledige procesketen analyseren: hoe de aanval begon, welke stappen zijn gezet en of andere endpoints vergelijkbaar gedrag vertonen. Op basis daarvan kunnen aanvullende maatregelen worden genomen.

Heb ik EDR of een security suite nodig?

De beste beveiliging voor jouw endpoints hangt af van de omgeving die je wilt beschermen. In een kleine omgeving volstaat een security suite. Die blokkeert de belangrijkste dreigingen en zorgt voor een relatief veilige werkomgeving. EDR is vooral relevant voor organisaties met meerdere werkplekken, servers of compliance-eisen. Het maakt actieve dreigingen zichtbaar, ondersteunt bij de respons en zorgt voor goede logging. In een omgeving met EDR blijft bescherming van endpoints met een security suite relevant. De twee technieken vullen elkaar aan.

Zoek je een veilige omgeving voor jouw beveiligde endpoints?

Wil je jouw beveiligde endpoints aansluiten op een veilige, betrouwbare én snelle omgeving? Dan ben je bij ons aan het juiste adres. Bekijk hier de mogelijkheden van onze infrastructuur.

Deel dit artikel

Gerelateerde artikelen

Blog overzicht

Auteur: TIP-redactie

Is de auteursnaam die we gebruiken wanneer een blogpost in teamverband door meerdere TransIP’ers is samengesteld. Denk bijvoorbeeld aan een eventverslag of onze Recommends.
Alle artikelen geschreven door TIP-redactie