A proteção de endpoints evoluiu para sistemas de Detecção e...

Próximas questões
Com base no mesmo assunto
Q3835616
Segurança da Informação Segurança de sistemas de informação ,
Ano: 2026 Banca: AMAUC Órgão: Prefeitura de Itá - SC Prova: AMAUC - 2026 - Prefeitura de Itá - SC - Analista de Sistemas |
Q3835616 Segurança da Informação
A proteção de endpoints evoluiu para sistemas de Detecção e Resposta de Endpoint (Endpoint Detection and Response − EDR). Assinale a alternativa que descreve corretamente a diferença técnica entre um Antivírus tradicional baseado em assinaturas e uma solução de EDR.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: D

Fundamento decisivo: A questão exigia distinguir a detecção por assinaturas, típica do antivírus tradicional, da abordagem do EDR, centrada em telemetria do endpoint e análise comportamental.

Tema central: Antivírus versus EDR
Análise das alternativas
A
Errada
Está errada porque descreve o EDR como ferramenta apenas passiva e sem resposta automática. Isso contraria a noção de detection and response, já que o EDR pode realizar contenção e resposta, como isolamento do host, e não se limita a gerar logs para SIEM.
B
Errada
Está errada porque inverte a limitação técnica do antivírus por assinaturas. Soluções baseadas em assinaturas dependem de padrões conhecidos e, por isso, não são mais eficazes contra zero-day do que mecanismos comportamentais; além disso, a explicação sobre 'compressão de chaves públicas' é tecnicamente desconexa com o tema.
C
Errada
Está errada porque atribui ao EDR a substituição completa de um NGFW e uma função típica de controle de tráfego de rede. Pela base, EDR atua no endpoint e não substitui integralmente controles de rede nem se define por bloquear tráfego na infraestrutura antes do processamento pelo sistema operacional.
D
Certa
A alternativa D descreve corretamente o EDR como solução de monitoramento contínuo do endpoint, com análise comportamental e apoio à investigação forense. Em contraste, o antivírus tradicional depende de um banco de dados de assinaturas ou hashes conhecidos para bloquear ameaças.
E
Errada
Está errada porque mistura técnicas e camadas que não definem essas tecnologias. DPI é técnica associada à inspeção de tráfego/rede, não à definição central de antivírus tradicional; e o EDR não atua exclusivamente na camada física nem tem foco restrito a ataques via USB ou hardware.
Pegadinha da questão
A confusão explorada foi trocar o papel do EDR por outras coisas: simples coletor de logs, substituto de firewall de rede ou tecnologia de camada física, em vez de reconhecê-lo como controle de endpoint com detecção comportamental, investigação e resposta.
Dica para questões semelhantes
  • Se a comparação for entre antivírus tradicional e EDR, procure a oposição entre assinaturas/padrões conhecidos e monitoramento comportamental contínuo do endpoint.
  • Elimine alternativas que reduzam o EDR a ferramenta passiva, porque a característica decisiva dele inclui resposta e contenção.
  • Elimine alternativas que confundam endpoint com controle de rede, especialmente quando disserem que EDR substitui integralmente NGFW.
  • Desconfie de alternativas que misturem técnicas de rede, como DPI, com a definição central de antivírus ou EDR.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

GABARITO LETRA D

EDR (Endpoint Detection and Response):

  • Monitora continuamente o comportamento dos endpoints em tempo real.
  • Identifica atividades suspeitas ou anômalas mesmo sem uma assinatura conhecida.
  • Permite resposta automatizada ou manual, como isolamento de máquinas, coleta de evidências e análise forense.
  • Complementa antivírus, mas não substitui todos os controles de rede como firewalls.

A: EDR não é apenas passivo; ele pode atuar ativamente em resposta a incidentes.

B: Antivírus baseado em assinaturas não é eficaz contra Zero-Day, ao contrário do que a alternativa afirma.

C: EDR não substitui firewalls de rede; seu foco é o endpoint, não o tráfego de rede antes do SO.

E: A frase é incompleta e confunde antivírus com inspeção de rede profunda (Deep Packet Inspection), que é função de NGFW, não de antivírus.

Gabarito D

A principal diferença reside na metodologia de detecção e na capacidade de resposta:

  • Antivírus (AV): Trabalha como um "porteiro" que tem uma lista de fotos de criminosos procurados. Se o arquivo que tenta entrar coincidir com uma assinatura (hash) da lista, ele é bloqueado. O problema é que, se o criminoso usar um disfarce (mudar um bit do código), o AV não o reconhece.
  • EDR (Endpoint Detection and Response): Trabalha como um "detetive" ou uma câmera de segurança inteligente. Ele não olha apenas para quem o arquivo é, mas para o que ele faz. Ele monitora processos, alterações no registro, conexões de rede e execução de scripts em tempo real.

O EDR foca na visibilidade. Mesmo que um malware de "Dia Zero" (desconhecido) consiga passar pelo antivírus, o EDR perceberá que um processo comum (como o notepad.exe) está tentando baixar um arquivo da internet e injetar código na memória. Ele gera um alerta baseado nessa anomalia comportamental e permite que o perito forense veja toda a "árvore de processos" para entender como a invasão começou.

Retroceder Nunca Render-se Jamais !

Força e Fé !

Fortuna Audaces Sequitur ! 

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas