Endpoint Detection and Response

Inhaltsverzeichnis

Was ist Endpoint Detection and Response?

Dieser Beitrag ergänzt den Wiki-Eintrag „Virenscanner“, in dem erklärt wird, was Antivirenprogramme sind, wie Virenscanner funktionieren und welche Vor- und Nachteile sie haben.

Er beleuchtet die Endpoint Detection and Response (EDR), eine Weiterentwicklung von Virenscannern und Endpoint Protection, um die Entwicklung von Malware mit Hilfe neuer Technologien zu bekämpfen.

Was ist EDR (Endpoint Detection and Response)?

Endpoint Detection and Response (EDR) ist eine fortschrittliche Lösung, die in der Endpoint Protection integriert ist, um eine kontinuierliche Datensammlung, Überwachung und automatisierte Analyse- und Reaktionsfunktion zu ermöglichen. Sie kann Endgeräte vor fortschrittlicher Malware, APTs und Phishing-Angriffen schützen.

Du suchst professionelle Beratung für den Schutz deiner IT?
Wir unterstützen dich gerne! Nimm jetzt Kontakt mit uns auf!
Zur Kontaktanfrage!

Vor welcher Art von Bedrohung schützt sie?

EDR schützt mithilfe fortschrittlicher Analysefunktionen vor Malware, anomalem Verhalten und dateilosen Angriffen. Es befasst sich auch mit der Dokumentation und Verfolgung der verwendeten Taktiken, Techniken und Verfahren (TTP/Tactic, Technique and Procedure), wie die Angreifer in das Netzwerk kamen und sich darin fortbewegt haben.

Die meisten Organisationen implementieren eine Endpoint Protection, die ein Mittel zur reaktiven Sicherheit ist, aber die Integration von EDR bietet Unternehmen auch proaktive Sicherheit. Selbst mit den besten Lösungen gibt es keinen 100%igen Schutz, es erschwert den Angreifern den Zugang durch deutlich erhöhten Aufwand und durch das abverlangte Know-how.

Einige von EDR gesammelte Informationen:

Icon Threat Modeling Assets

1. Prozesse:

Die Analyse von Prozessen liefert Informationen zu laufenden Programmen auf Endgeräten. Bösartige Prozesse rufen andere Prozesse auf, und diese Informationen können helfen, den übergeordneten Prozess eines bösartigen Prozesses zu bestimmen.

Icon Network

2. Netzwerkverbindungen:

Es werden Informationen zu allen aktiven und ausstehenden Verbindungen gesammelt.

Icon Laptop Gear

3. System-Informationen:

Sammeln von Informationen über Endgeräte, um ein anormales Systemverhalten festzustellen. Diese Informationen helfen dabei, herauszufinden, was sich im Falle eines Vorfalls auf einem System geändert hat.

ProSec Icon Social Engineering​

4. Benutzerinformationen:

Das Sammeln von Benutzerinformationen für maschinelles Lernen kann dabei helfen, sein Standard-Benutzerverhalten festzustellen und so Anomalien zu erkennen.

PSN Rocket Start

5. Autostart:

Die Kontrolle des Autostarts. Dies ist eines der am weitesten verbreiteten Mittel zur Ausführung von Codes und zum Angriff auf Systeme, da einige Malwares versuchen, sich im Windows-Startprozess zu verstecken.

Fähigkeiten von Endpoint Detection and Response

PSN Icon Man in the Middle

1. Sammeln und Überwachen:

Die Daten werden zentral zur Überwachung gesammelt und zur Erkennung von Bedrohungen verwendet. Diese gesammelten Daten sind für Security Operation Center (SOC) nützlich und werden bei der Reaktion zu Vorfällen verwendet.

ProSec Icon Ransomware

2. Alarmierung und Priorisierung:

Wenn Bedrohungen erkannt wurden, werden die IT-Sicherheitsverantwortlichen alarmiert. Beim Auftreten von mehreren Bedrohungen erfolgt eine Priorisierung, um effektiv die Gefahr abzuwenden.

PSN Icon Analyse

3. Untersuchung:

EDR bietet die Möglichkeit, mithilfe von korrelierten Ereignissen den Verlauf des Angriffs visuell darzustellen.

Icon Laptop Gear

4. Automatisierung und Echtzeit-Reaktion auf Bedrohungen:

Wenn Endgeräte nicht den Richtlinien entsprechen oder Malware entdeckt wird, bietet EDR automatisierte Reaktionsmöglichkeiten, wie die Isolierung dieser Endgeräte vom Netzwerk oder die Isolierung des gesamten Netzbereiches.

Icon Map

5. Jagd auf Bedrohungen:

Durch ein aktives Suchen können Bedrohungen gefunden und vor schadhafter Ausnutzung abgehalten werden.
Deine IT wird noch nicht
durch ein SOC überwacht?
Kontaktiere uns jetzt und wir helfen Dir bei der Umsetzung!
Zur IT-Sicherheitsberatung

Anwendungsbereiche von Endpoint Detection and Response

Proaktiv durch das Anschlagen von potentiellen Gefahren (Cross referencing to „Network Traffic Analysis“)

Ersatz der regulären Endpoint Protection bei größeren Unternehmen mit eigener SOC

Zur nachträglichen Vorfallsanalyse

TEILEN
Newsletter Form

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!