Endpoint Detection and Response

Inhaltsverzeichnis

Was ist Endpoint Detection and Response?

Dieser Beitrag ergänzt den Wiki-Eintrag „Virenscanner“, in dem erklärt wird, was Antivirenprogramme sind, wie Virenscanner funktionieren und welche Vor- und Nachteile sie haben.

Er beleuchtet die Endpoint Detection and Response (EDR), eine Weiterentwicklung von Virenscannern und Endpoint Protection, um die Entwicklung von Malware mit Hilfe neuer Technologien zu bekämpfen.

Was ist EDR (Endpoint Detection and Response)?

Endpoint Detection and Response (EDR) ist eine fortschrittliche Lösung, die in der Endpoint Protection integriert ist, um eine kontinuierliche Datensammlung, Überwachung und automatisierte Analyse- und Reaktionsfunktion zu ermöglichen. Sie kann Endgeräte vor fortschrittlicher Malware, APTs und Phishing-Angriffen schützen.

Du suchst professionelle Beratung für den Schutz deiner IT?
Wir unterstützen dich gerne! Nimm jetzt Kontakt mit uns auf!
Zur Kontaktanfrage!

Vor welcher Art von Bedrohung schützt sie?

EDR schützt mithilfe fortschrittlicher Analysefunktionen vor Malware, anomalem Verhalten und dateilosen Angriffen. Es befasst sich auch mit der Dokumentation und Verfolgung der verwendeten Taktiken, Techniken und Verfahren (TTP/Tactic, Technique and Procedure), wie die Angreifer in das Netzwerk kamen und sich darin fortbewegt haben.

Die meisten Organisationen implementieren eine Endpoint Protection, die ein Mittel zur reaktiven Sicherheit ist, aber die Integration von EDR bietet Unternehmen auch proaktive Sicherheit. Selbst mit den besten Lösungen gibt es keinen 100%igen Schutz, es erschwert den Angreifern den Zugang durch deutlich erhöhten Aufwand und durch das abverlangte Know-how.

Einige von EDR gesammelte Informationen:

PSN Icon LAN

1. Prozesse:

Die Analyse von Prozessen liefert Informationen zu laufenden Programmen auf Endgeräten. Bösartige Prozesse rufen andere Prozesse auf, und diese Informationen können helfen, den übergeordneten Prozess eines bösartigen Prozesses zu bestimmen.

PSN Icon Network

2. Netzwerkverbindungen:

Es werden Informationen zu allen aktiven und ausstehenden Verbindungen gesammelt.

Icon_Leistung-300x300

3. System-Informationen:

Sammeln von Informationen über Endgeräte, um ein anormales Systemverhalten festzustellen. Diese Informationen helfen dabei, herauszufinden, was sich im Falle eines Vorfalls auf einem System geändert hat.

Nutzer

4. Benutzerinformationen:

Das Sammeln von Benutzerinformationen für maschinelles Lernen kann dabei helfen, sein Standard-Benutzerverhalten festzustellen und so Anomalien zu erkennen.

PSN Icon Rocket

5. Autostart:

Die Kontrolle des Autostarts. Dies ist eines der am weitesten verbreiteten Mittel zur Ausführung von Codes und zum Angriff auf Systeme, da einige Malwares versuchen, sich im Windows-Startprozess zu verstecken.

Fähigkeiten von Endpoint Detection and Response

PSN_Icon_Color_Set_15

1. Sammeln und Überwachen:

Die Daten werden zentral zur Überwachung gesammelt und zur Erkennung von Bedrohungen verwendet. Diese gesammelten Daten sind für Security Operation Center (SOC) nützlich und werden bei der Reaktion zu Vorfällen verwendet.

Emotet, Emotet Trojaner

2. Alarmierung und Priorisierung:

Wenn Bedrohungen erkannt wurden, werden die IT-Sicherheitsverantwortlichen alarmiert. Beim Auftreten von mehreren Bedrohungen erfolgt eine Priorisierung, um effektiv die Gefahr abzuwenden.

Scan

3. Untersuchung:

EDR bietet die Möglichkeit, mithilfe von korrelierten Ereignissen den Verlauf des Angriffs visuell darzustellen.

Icon_3-300x300

4. Automatisierung und Echtzeit-Reaktion auf Bedrohungen:

Wenn Endgeräte nicht den Richtlinien entsprechen oder Malware entdeckt wird, bietet EDR automatisierte Reaktionsmöglichkeiten, wie die Isolierung dieser Endgeräte vom Netzwerk oder die Isolierung des gesamten Netzbereiches.

PSN_Icon_Color_Set_15

5. Jagd auf Bedrohungen:

Durch ein aktives Suchen können Bedrohungen gefunden und vor schadhafter Ausnutzung abgehalten werden.
Deine IT wird noch nicht
durch ein SOC überwacht?
Kontaktiere uns jetzt und wir helfen Dir bei der Umsetzung!
Zur IT-Sicherheitsberatung

Anwendungsbereiche von Endpoint Detection and Response

Proaktiv durch das Anschlagen von potentiellen Gefahren (Cross referencing to „Network Traffic Analysis“)

Ersatz der regulären Endpoint Protection bei größeren Unternehmen mit eigener SOC

Zur nachträglichen Vorfallsanalyse

ANDERE BEITRÄGE

Inhaltsverzeichnis