Erstatter EDR vores antivirus?

I praksis ja — moderne EDR-produkter indeholder next-gen antivirus som ét af flere lag. Pointen er, at signaturgenkendelse alene ikke længere er et tilstrækkeligt forsvar.

Er EDR ikke kun for store virksomheder?

Ikke længere. Priserne er pr. endpoint og skalerer ned, og truslerne (ransomware, kontoovertagelse) rammer SMV’er mindst lige så hårdt. Det reelle spørgsmål er bemanding — og det løses med en managed-model.

Overvåger EDR medarbejderne?

EDR registrerer system- og procesadfærd for at opdage angreb — ikke indholdet af dokumenter eller privat kommunikation. Vær alligevel transparent: beskriv formålet i jeres IT-politik, og afgræns adgangen til data i konsollen.

Hvad sker der, når EDR isolerer en maskine?

Maskinen afskæres fra netværket, men bevarer forbindelsen til EDR-konsollen, så den kan undersøges og genoprettes. Brugeren kan arbejde lokalt, og maskinen frigives igen, når den er renset.

Viden

Hvad er EDR — og hvorfor er antivirus ikke længere nok?

EDR (Endpoint Detection and Response) er sikkerhedssoftware på virksomhedens computere og servere, der løbende registrerer adfærd — processer, netværksforbindelser, filændringer — og opdager angreb, som klassisk antivirus overser. Hvor antivirus spørger "kender jeg denne fil som ond?", spørger EDR "opfører systemet sig som under et angreb?" — og kan isolere maskinen, dræbe processen og undersøge forløbet.

Udgivet: 20. juni 2026Opdateret: 20. juni 2026Læsetid: 5 min.

Hvorfor rækker antivirus ikke?

Klassisk antivirus genkender kendt malware på signaturer. Moderne angreb undgår netop det: De bruger legitime indbyggede værktøjer (PowerShell, fjernadministration), stjålne loginoplysninger og filløse teknikker, hvor intet “ondt program” nogensinde lander på disken. For antivirus ser det ud som normal drift.

EDR kigger i stedet på adfærdskæder: et Office-program der starter PowerShell, som henter kode fra internettet, som begynder at læse loginoplysninger — hver del kan være uskyldig, men kæden er et angreb.

Hvad betyder “detection and response” i praksis?

Detection: Agenten på hvert endpoint indsamler telemetri og matcher den mod angrebs-mønstre (ofte kortlagt efter MITRE ATT&CK-rammeværket). Mistænkelige kæder udløser alarmer med kontekst: hvad skete, i hvilken rækkefølge, udløst af hvem.

Response: Det afgørende r. Fra konsollen — eller automatisk — kan man isolere maskinen fra netværket (mens den stadig kan undersøges), afslutte processer, slette filer, rulle ændringer tilbage og gennemsøge alle øvrige endpoints for samme spor. Ved ransomware er forskellen på minutter og dage her.

Hvad er forskellen på EDR, XDR og SIEM?

De tre forveksles ofte, men er lag i samme kæde:

EDR ser dybt — men kun på endpoints.
XDR (Extended Detection and Response) udvider med signaler fra mail, identitet, netværk og cloud og korrelerer dem til samlede hændelser.
SIEM samler og analyserer logs fra alt — også systemer uden agent — og er samtidig stedet, hvor man opfylder logningskrav og kan efterforske historisk.

En typisk SMV-rejse: EDR først (størst effekt pr. krone), derefter XDR/SIEM for sammenhæng og compliance-dokumentation.

Hvad kræver EDR af organisationen?

Alarmer skal ses og handles på — også klokken 03. Et EDR-produkt uden nogen bag skærmen er en alarmcentral uden vagter. Derfor vælger mange SMV’er managed detection and response (MDR), hvor en ekstern partner overvåger, triagerer og reagerer. Derudover: udrul agenten på alle endpoints inklusive servere (huller i dækningen er angriberens foretrukne opholdssted), og afstem på forhånd, hvem der må isolere en maskine i drift.

Ofte stillede spørgsmål

Erstatter EDR vores antivirus?
I praksis ja — moderne EDR-produkter indeholder next-gen antivirus som ét af flere lag. Pointen er, at signaturgenkendelse alene ikke længere er et tilstrækkeligt forsvar.
Er EDR ikke kun for store virksomheder?
Ikke længere. Priserne er pr. endpoint og skalerer ned, og truslerne (ransomware, kontoovertagelse) rammer SMV’er mindst lige så hårdt. Det reelle spørgsmål er bemanding — og det løses med en managed-model.
Overvåger EDR medarbejderne?
EDR registrerer system- og procesadfærd for at opdage angreb — ikke indholdet af dokumenter eller privat kommunikation. Vær alligevel transparent: beskriv formålet i jeres IT-politik, og afgræns adgangen til data i konsollen.
Hvad sker der, når EDR isolerer en maskine?
Maskinen afskæres fra netværket, men bevarer forbindelsen til EDR-konsollen, så den kan undersøges og genoprettes. Brugeren kan arbejde lokalt, og maskinen frigives igen, når den er renset.

Kilder

MITRE ATT&CK-rammeværket (attack.mitre.org)

Styrelsen for Samfundssikkerhed: vejledning om implementering af cybersikkerhedsforanstaltninger (samsik.dk)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.