Definition

Endpoint Detection and Response (EDR)

Mit dem englischen Begriff Endpoint Detection and Response (EDR) wird eine Kategorie von Werkzeugen und Techniken beschrieben, die zum Schutz von Computer-Hardware vor potentiellen Bedrohungen genutzt wird, die auch als Endpoints oder Endpunkte bezeichnet werden. EDR-Lösungen bestehen also aus Tools, die sich darauf konzentrieren, möglicherweise böswillige Aktivitäten auf Clients und Servern im lokalen Netz zu entdecken. Meist werden diese Geräte dabei kontinuierlich überwacht. Im Idealfall erfährt ein Unternehmen durch seine Endpoint-Lösung und durch das Sammeln von Daten, was wirklich auf den Systemen geschieht. Diese Informationen lassen sich dann nutzen, um potentielle Gefahren zu erkennen und zu bekämpfen.

Unternehmen können eine EDR-Plattform einsetzen, um sich vor Cyberangreifern zu schützen, sobald diese sich auf einem Endgerät festzusetzen versuchen. Auf einem Endpoint können zum Beispiel auch geschäftskritische Daten über Ereignisse im Netzwerk, Änderungen bei Konfigurationen oder Prozessen oder über Zugriffe auf Dateien gespeichert sein. Mit einer EDR-Lösung ist es möglich, die Clients und Server in einem Unternehmen kontinuierlich auf verdächtige Aktionen zu überwachen. EDR-Tools entdecken verdächtige Ereignisse und reagieren entsprechend darauf.

Meist installieren EDR-Lösungen einen Agenten, also eine spezielle Software, auf dem Gerät des Endanwenders. Dieser Agent überwacht ab dem Zeitpunkt der Installation alle Aktivitäten auf dem Client und im Netzwerk. Die Ereignisse werden dann in der Regel in einer zentralen Datenbank erfasst und abgespeichert. Die EDR-Plattform kann diese gesammelten Daten auch später noch analysieren, um Informationen über frühere Ereignisse zu erkennen oder um ähnliche Bedrohungen zu identifizieren. Sobald eine Gefahr erkannt wurde, kann das Tool einen der Admins oder auch den betroffenen Anwender informieren. Die meisten Lösungen verfügen darüber hinaus über eine Managementkonsole, die für die Verwaltung des Backends genutzt werden kann.

Welche Funktionen bieten EDR-Lösungen?

Auch wenn nicht alle EDR-Plattformen genau die gleichen Fähigkeiten besitzen, haben die meisten doch recht ähnliche Funktionen. Dazu gehören:

  • Sammeln und Aggregieren von Daten auf den Endpoints.
  • Erhöhte Transparenz innerhalb der gesamten IT-Umgebung.
  • Die Fähigkeit, die einzelnen Clients und Server zu überwachen und zwar sowohl online als auch offline.
  • Die Fähigkeit, Malware aufzuspüren und Daten über Ereignisse abzuspeichern.
  • Die Fähigkeit, auf ein Ereignis in Echtzeit reagieren zu können.
  • Meist lassen sie sich auch in weitere Security-Tools integrieren oder arbeiten damit zusammen.
  • Die Unterstützung von sowohl Black- als auch Whitelists.

Weitere Funktionen, die aber nicht in allen Lösungen enthalten sind, umfassen zum Beispiel die Verschlüsselung von Daten oder kompletten Geräten sowie Zugriffskontrollen für Anwender mit erweiterten Berechtigungen (zum Beispiel Admins) oder für den Zugang zum Netzwerk.

Diese Definition wurde zuletzt im Juli 2020 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close