EDR (Endpoint Detection and Response) é uma tecnologia que monitora o comportamento dos endpoints — computadores, notebooks e servidores — e permite detectar, investigar e isolar ameaças. Em vez de só comparar arquivos com uma lista de vírus conhecidos, ele observa o que os programas realmente fazem na máquina e reage quando algo foge do normal. Sozinho, um EDR gera alertas; para virar proteção de verdade, precisa de alguém operando — o que se chama EDR gerenciado.
Durante anos, a proteção do computador foi sinônimo de antivírus: um programa que compara cada arquivo com uma lista de ameaças conhecidas e bloqueia o que reconhece. O problema é que os ataques modernos raramente chegam como um arquivo já catalogado. Eles usam ferramentas legítimas do próprio sistema, scripts e técnicas que não estão em nenhuma lista — e passam batido. O EDR nasceu para cobrir exatamente esse ponto cego.
EDR x antivírus tradicional
A diferença está no que cada um observa. O antivírus tradicional trabalha por assinatura: ele conhece a "impressão digital" de vírus já identificados e bloqueia o que bate com a lista. É rápido e eficaz contra ameaças conhecidas, mas cego diante do que é novo.
O EDR trabalha por comportamento. Ele não pergunta apenas "esse arquivo está na lista de vírus?", e sim "essa sequência de ações é suspeita?". Alguns pontos que separam os dois:
- Antivírus: compara arquivos com ameaças conhecidas. Se o ataque é inédito, escapa.
- EDR: monitora processos, conexões e alterações em tempo real e detecta padrões suspeitos, mesmo sem assinatura conhecida.
- Antivírus: bloqueia e apaga. Fim da história — você não sabe o que aconteceu antes.
- EDR: registra a linha do tempo do incidente, permite investigar a origem e isolar a máquina da rede para conter o estrago.
O que o EDR vê que o antivírus não vê
Boa parte dos ataques atuais não deposita um arquivo malicioso óbvio no disco. Eles operam "vivendo da terra" — usando programas que já existem no Windows ou no Linux para agir sem levantar suspeita. É aí que o EDR faz diferença:
- Comportamento anômalo de processos: um programa comum que, de repente, começa a criptografar arquivos em massa (o sinal clássico de ransomware) ou a abrir conexões estranhas.
- Uso indevido de ferramentas legítimas: PowerShell, scripts e utilitários do sistema sendo usados de um jeito que um usuário normal jamais usaria.
- Movimentação lateral: uma máquina infectada tentando alcançar outras da rede — algo que o antivírus, olhando arquivo por arquivo, nunca perceberia.
- Persistência: alterações feitas para o invasor voltar mesmo depois de reiniciar a máquina.
Ou seja: o EDR enxerga a história do ataque, não só o arquivo. É a diferença entre encontrar uma arma e entender o crime.
EDR gerenciado: quem opera
Aqui está o ponto que muita gente descobre tarde: um EDR sozinho não protege — ele avisa. Ele gera alertas, monta linhas do tempo e oferece o botão de isolar a máquina, mas alguém precisa olhar os alertas, separar o que importa e reagir — inclusive de madrugada e no fim de semana, que é justamente quando muitos ataques acontecem.
Para a maioria das empresas, montar essa operação internamente é caro e difícil: exige gente especializada de plantão o tempo todo. A alternativa é o EDR gerenciado, em que uma equipe externa cuida de tudo — instalação, triagem dos alertas, investigação e resposta. É o modelo que sustenta a proteção de endpoints feita como serviço.
Onde o Argos entra
O Argos entrega EDR gerenciado com isolamento automático das máquinas comprometidas e um SOC 24h por trás: uma equipe humana somada à IA faz a triagem dos alertas em português e reage aos incidentes por você, inclusive fora do horário comercial. Todo o monitoramento roda com os dados no Brasil. Se quiser aprofundar a comparação, escrevemos um material dedicado sobre EDR vs antivírus.
- EDR monitora o comportamento dos endpoints para detectar, investigar e isolar ameaças.
- O antivírus compara arquivos com uma lista de vírus; o EDR observa o que os programas fazem e pega o que é inédito.
- Ele enxerga processos anômalos, uso indevido de ferramentas legítimas e movimentação lateral na rede.
- Um EDR sozinho só avisa — o EDR gerenciado é quem opera, com SOC 24h e resposta aos incidentes.