Endpoint Detection and Response — EDR — låter som något för Fortune 500-bolag med ett säkerhetsteam på 20 personer. Det stämmer inte längre.
Prisnivåerna har sjunkit. Lösningarna har blivit enklare. Och hoten mot småföretag har ökat tillräckligt för att argumentet "vi är för små för att vara intressanta" inte håller längre.
Den här artikeln förklarar vad EDR faktiskt är, vad det kostar, och om det är rätt för ett företag utan dedikerad IT-avdelning.
Vad är EDR — utan buzzwords
Traditionellt antivirus fungerar ungefär så här: det har en lista på kända skadliga program (signaturer), och det blockerar dem. Det fungerade bra 2005. Det räcker inte 2025.
Modern skadlig kod är polymorf — den ändrar form för att undvika signaturbaserad detektion. Ransomware, avancerade trojaner, och fileless malware (som kör direkt i minnet utan att skriva till disk) syns inte av traditionellt antivirus förrän det är för sent.
EDR gör något annat:
Det loggar vad som händer på varje endpoint (dator, server, laptop) i realtid:
- Vilka processer startar?
- Vilka filer läses och skrivs?
- Vilka nätverksanslutningar sker?
- Vilka register-nycklar ändras?
Med denna data kan EDR-systemet identifiera beteenden som indikerar ett angrepp — även om den specifika skadliga koden aldrig setts tidigare.
Enkelt uttryckt: Traditionellt antivirus känner igen brottslingar på ansiktet. EDR känner igen dem på beteendet.
Vad EDR faktiskt skyddar mot
EDR är effektivt mot:
- Ransomware — identifierar massvisa fil-krypteringsoperationer tidigt
- Lateral movement — när en angripare rör sig från en komprometterad maskin till andra
- Credential harvesting — försök att dumpa lösenord från minnet (t.ex. Mimikatz-attacker)
- Living-off-the-land attacks — angripare som utnyttjar legitima systemverktyg (PowerShell, WMI)
- Persistence mechanisms — program som lägger sig i autostart eller skapar schemalagda uppgifter
EDR ger dessutom forensisk kapacitet: om något händer kan du gå tillbaka i tid och se exakt vad som skedde på vilken maskin vid vilken tidpunkt.
Är EDR rätt för ett litet företag?
Svaret beror på tre faktorer:
1. Vad du hanterar för data
Om ditt företag hanterar:
- Kunddata med personuppgifter
- Finansiell data
- Hälsodata
- Juridiska dokument
- IP och affärshemligheter
...är EDR motiverat.
2. Vad ett intrång kostar
Ta den sämsta tänkbara dagen: all er data är krypterad av ransomware. Vad kostar det?
- Lösen (om ni betalar, och det ska ni inte göra)
- Driftstopp
- Datateknikers arbete för återställning
- Förlorade kundrelationer
- Eventuella GDPR-böter (om persondata läckt)
Räkna ut det. Om svaret är "mer än vad EDR kostar per år" — svaret är enkelt.
3. Har du kapacitet att agera på larmen?
Det är här det blir lite mer nyanserat för ett litet företag.
En EDR-lösning utan SIEM (Security Information and Event Management) och utan någon som hanterar larmen är som ett brandlarm utan brandkår. Det ringer, men ingen svarar.
Lösningarna:
- Managed EDR / MDR (Managed Detection and Response) — du betalar inte bara för mjukvaran, utan för ett externt SOC-team som hanterar larmen åt dig. Det kostar mer men kräver ingen intern kapacitet.
- EDR med hög tröskel — konfigurera EDR till att bara larma på högrisk-events, och hantera larmen under kontorstid.
- Anlita en IT-partner som hanterar EDR-plattformen och agerar vid larm. Det är vad vi erbjuder på Geekteq.
Vilka EDR-lösningar passar ett litet företag
Det finns en rad lösningar anpassade för SMB-segmentet:
Microsoft Defender for Business
Pris: Inkluderat i Microsoft 365 Business Premium (~420 kr/månad/användare, allt inkluderat) eller som fristående (~140 kr/månad/användare).
För vem: Bolag som redan är på Microsoft 365-ekosystemet.
Styrkor:
- Noll extra infrastruktur att hantera
- Integrerar med Intune för enhetshantering
- Bra dashboard i Microsoft 365 Defender-portalen
- Stöder Windows, macOS, iOS, Android
Svagheter:
- Kräver viss teknisk kompetens för att konfigurera rätt
- Inte lika granulär som enterprise-EDR-plattformar
Rekommendation: Bästa startpunkten för de flesta svenska SMB-bolag.
CrowdStrike Falcon Go / Falcon Pro
Pris: Falcon Go från ~$60/endpoint/år. Falcon Pro ~$100/endpoint/år.
För vem: Bolag med lite högre säkerhetskrav eller blandad OS-miljö.
Styrkor:
- Branschledande detektion
- Extremt lätt agent (~10 MB, ingen prestandapåverkan)
- Exceptionell forensisk kapacitet
Svagheter:
- Dyrare
- Kräver mer kompetens att använda fullt ut
SentinelOne Singularity Core
Pris: Från ~$45/endpoint/år.
För vem: Bolag som vill ha stark automatisk respons (kan automatiskt isolera komprometterade maskiner).
Styrkor:
- Stark AI-driven detektion
- Autonomt svar utan mänskligt ingripande
- Bra rollback-funktion för ransomware-händelser
Malwarebytes for Teams / ThreatDown
Pris: Från ~$49/endpoint/år.
För vem: Bolag som vill ha enkel hantering och låg kostnad.
Styrkor:
- Enkelt att driftsätta och hantera
- Låg tröskel för mindre tekniska team
Svagheter:
- Inte lika kraftfull som CrowdStrike eller SentinelOne
Hur du kommer igång
Steg 1 — Börja med inventering
Lista alla endpoints som behöver skyddas:
- Stationära datorer och laptops
- Servrar (fysiska och virtuella)
- Eventuella Mac-maskiner
Steg 2 — Välj lösning
För de flesta svenska SMB-bolag på Microsoft 365 rekommenderar vi: Microsoft Defender for Business som startpunkt. Det är inkluderat i Business Premium, det är tillräckligt bra för de flesta, och det krävs ingen extra leverantörsrelation.
Är kraven högre (finans, hälsa, juridik) — titta på SentinelOne eller CrowdStrike Falcon Pro.
Steg 3 — Driftsätt agenten
Microsoft Defender aktiveras via Intune eller ett Group Policy-skript. Det tar en halvdag om miljön är välstrukturerad.
För tredjepartslösningar är driftsättning via en management-konsol standardmetoden — du kan i de flesta fall göra det utan att fysiskt gå till varje maskin.
Steg 4 — Konfigurera larmnivåer
Standardkonfiguration ger för många falska positiv-larm för ett litet team. Justera larmnivåerna till "High" och "Critical" och ha ett tydligt svar-protokoll: vem gör vad när ett larm triggas.
Steg 5 — Testa
Kör EICAR-testet (ett ofarligt testprogram som EDR ska detektera) och verifiera att systemet fungerar. Simulera sedan ett enkelt penetrationstest om möjligt.
EDR ersätter inte grunderna
EDR är ett komplement till, inte ett substitut för:
- MFA på alla konton — 99% av lösenordsattacker stoppas av MFA
- Patchad programvara — håll OS och applikationer uppdaterade
- Offsite-backup — om allt annat misslyckas behöver ni kunna återställa
Dessa tre saker kommer före EDR i prioritetsordning. Om ni inte har dem på plats — börja där.
Vad det kostar i praktiken
För ett 20-persons bolag med Microsoft 365 Business Premium:
| Post | Kostnad/månad |
|---|---|
| Microsoft 365 Business Premium (inkl. Defender for Business) | ~8 400 kr |
| IT-partner för drift och larmsvar | ~3 000–5 000 kr |
| Totalt | ~11 000–13 000 kr/månad |
Jämfört med kostnaden för ett ransomware-angrepp (ofta 200 000–2 000 000 kr i direkta och indirekta kostnader för ett 20-persons bolag) är det ett enkelt räkneexempel.
Har du frågor om EDR-implementation eller vill veta vilken lösning som passar er miljö? Kontakta oss — vi tittar gärna på er specifika situation utan sälj-pitch.