Endpoint Detection and Response

Warum es wichtig ist

Endpoint Detection and Response ist zum Eckpfeiler moderner Endpunktsicherheit geworden. Während traditionelle Antivirus-Software auf Signaturabgleich bekannter Malware setzte, bietet EDR kontinuierliche Überwachung, Verhaltensanalyse und Reaktionsfähigkeiten, die zur Bekämpfung ausgefeilter Bedrohungen erforderlich sind.

Moderne Angreifer operieren oft ohne traditionelle Malware. Living-off-the-Land-Techniken verwenden legitime Systemtools für böswillige Zwecke, dateilose Angriffe werden vollständig im Speicher ausgeführt, und fortgeschrittene Bedrohungen passen sich an, um statische Erkennung zu umgehen. EDRs Verhaltensüberwachung und Telemetriesammlung ermöglichen die Erkennung dieser Techniken.

Der Wandel zur Fernarbeit hat die Bedeutung von EDR verstärkt. Mit Endpunkten, die außerhalb traditioneller Netzwerkperimeter arbeiten, benötigen Organisationen Sichtbarkeit und Schutz, der mit den Benutzern reist.

Für Sicherheitsexperten ist EDR-Kompetenz unerlässlich. SOC-Analysten untersuchen EDR-Alerts und nutzen Telemetrie für Threat Hunting. Incident Responder nutzen EDR für Eindämmung und Forensik. Security Engineers implementieren und optimieren EDR-Plattformen.

Wie EDR funktioniert

Kernarchitektur

Datensammlung

EDR-Agenten sammeln kontinuierlich Endpunkt-Telemetrie:

Telemetrietypen:

Prozessaktivität:
- Prozesserstellung und -beendigung
- Eltern-Kind-Beziehungen
- Kommandozeilenargumente
- Benutzerkontext

Dateioperationen:
- Dateierstellung, -änderung, -löschung
- Datei-Hashwerte
- Ausführung von verdächtigen Speicherorten

Netzwerkverbindungen:
- Ausgehende Verbindungen
- DNS-Anfragen
- Verbindungsmetadaten

Registry-Änderungen (Windows):
- Persistenz-Speicherorte
- Konfigurationsänderungen
- Autostart-Modifikationen

Authentifizierung:
- Login-Ereignisse
- Privilegieneskalation
- Zugriffsversuche auf Anmeldedaten

Erkennungsfähigkeiten

Signaturbasiert

• Bekannte Malware-Hashes
• YARA-Regeln
• IOC-Abgleich

Verhaltensanalyse

• Verdächtiges Prozessverhalten
• Angriffstechnikmuster
• Anomalieerkennung

Machine Learning

• Automatisierte Klassifizierung
• Erkennung unbekannter Bedrohungen
• Reduzierung von Fehlalarmen

Schlüsselfähigkeiten

Echtzeit-Erkennung

Beispiel-Erkennungsszenarien:

Credential-Diebstahl:
- Mimikatz-Ausführung erkannt
- LSASS-Speicherzugriff
- Credential-Dumping-Verhalten

Persistenz:
- Geplante Task-Erstellung
- Registry-Run-Key-Modifikation
- Dienstinstallation

Laterale Bewegung:
- PsExec-artige Remote-Ausführung
- WMI Remote-Prozesserstellung
- Pass-the-Hash-Indikatoren

Datenexfiltration:
- Ungewöhnliche Datenkompression
- Große Dateiübertragungen
- Cloud-Speicher-Uploads

Untersuchung

Endpunkt-Sichtbarkeit

• Historische Aktivitätssuche
• Prozessbaum-Visualisierung
• Zeitleistenrekonstruktion
• Artefaktsammlung

Threat Hunting

• Proaktive Suche über Endpunkte
• Benutzerdefinierte Abfragen und Filter
• Hypothesengesteuerte Untersuchung
• IOC-Sweeping

Reaktionsaktionen

Reaktionsfähigkeiten:

Eindämmung:
- Netzwerkisolation
- Prozessbeendigung
- Benutzersitzungs-Sperrung
- Gerätequarantäne

Behebung:
- Dateilöschung/-quarantäne
- Registry-Bereinigung
- Entfernung geplanter Tasks
- Dienstdeaktivierung

Forensik:
- Speichersammlung
- Dateiabru
- Artefaktbewahrung
- Remote-Shell-Zugriff

Große EDR-Plattformen

Marktführer

CrowdStrike Falcon

• Cloud-native Architektur
• Starke Threat-Intelligence-Integration
• Leichtgewichtiger Agent
• Branchenführer bei Erkennung

Microsoft Defender for Endpoint

• Tiefe Windows-Integration
• In Microsoft 365 E5 enthalten
• Erweiterte plattformübergreifende Unterstützung
• Integriert in Microsoft-Sicherheitsökosystem

SentinelOne

• Autonome Reaktionsfähigkeiten
• Starker Ransomware-Schutz
• Plattformübergreifende Unterstützung
• Storyline-Visualisierung

Carbon Black (VMware)

• On-Premises-Optionen verfügbar
• Starke Hunting-Fähigkeiten
• VMware-Ökosystem-Integration

Bewertungskriterien

EDR-Auswahlkriterien:

Erkennung:
- MITRE ATT&CK-Evaluierungsergebnisse
- Fehlalarmraten
- Erkennungsabdeckungsbreite
- Threat-Intelligence-Integration

Betrieb:
- Agent-Performance-Auswirkung
- Management-Komplexität
- Alert-Qualität und Kontext
- Integrationsfähigkeiten

Reaktion:
- Eindämmungsoptionen
- Behebungsautomatisierung
- Remote-Untersuchungstools
- Forensische Fähigkeiten

Geschäftlich:
- Preismodellanpassung
- Qualität des Herstellersupports
- Plattform-Roadmap
- Bereitstellungsflexibilität

Implementierung Best Practices

Bereitstellung

• Pilotphase auf Teilmenge vor vollständiger Bereitstellung
• Agent-Performance-Auswirkung überwachen
• Szenarien für Offline-Endpunkte planen
• Geeignete Ausnahmen konfigurieren (vorsichtig)

Betrieb

Täglicher EDR-Betrieb:

Alert-Management:
- Triage-Verfahren etablieren
- Schweregrad-Kriterien definieren
- Eskalationspfade festlegen
- Metriken verfolgen (MTTD, MTTR)

Tuning:
- Fehlalarme wöchentlich überprüfen
- Erkennungsregeln aktualisieren
- Automatisierte Reaktionen verfeinern
- Empfindlichkeitsstufen anpassen

Threat Hunting:
- Regelmäßige Hunts planen
- Intelligence-gesteuerten Hypothesen folgen
- Erkenntnisse dokumentieren und teilen
- Neue Erkennungen aus Hunts erstellen

Wartung:
- Agent-Versionsverwaltung
- Richtlinienaktualisierungen
- Integrations-Gesundheitsprüfungen
- Speicher- und Aufbewahrungsüberprüfung

Integration

• Alerts an SIEM weiterleiten
• Mit SOAR für Automatisierung verbinden
• Threat-Intelligence-Feeds integrieren
• Cloud-Umgebungssichtbarkeit aktivieren

EDR vs. verwandte Technologien

Karriererelevanz

EDR-Expertise ist in allen Sicherheitsrollen hoch geschätzt. Plattformen wie CrowdStrike und Defender sind zu Standardwerkzeugen für Erkennung, Untersuchung und Reaktion geworden.