EDR (endpoint detection and response)

Bei der Endgeräteerkennung und -reaktion, Endpoint Detection and Response (EDR), geht es um die kontinuierliche Überwachung der Endgeräte - das können Desktops, Laptops und Mobilgeräte sein - in Bezug auf mögliche Bedrohungen.

EDR-Tools sollten die Endgeräte mit statischen und dynamischen Erkennungstechniken überwachen und fortlaufend alle Ereignisse dokumentieren, die eine mögliche Bedrohung darstellen. Dazu gehören auch unerwünschte Prozesse, die in Botnetze eingebunden sind. Alle Ereignisse werden analysiert, untersucht und je nach Erkenntnisstand werden sicherheitskritische Bereiche intensiver geschützt. Bei der Analyse kann Machine Learning (ML) zur schnellen Erkennung von Anomalien im Netzverkehr beitragen.

Beim EDR-Verfahren geht um die Früherkennung von externen Angriffen, um das Erkennen von Malware aber auch um Bedrohungen durch eigene Mitarbeiter. Außerdem geht es um eine möglichst kurze Reaktionszeit und darum, Infektionen von Endpunkten zu beseitigen.

Da die Angriffe immer ausgeklüngelter werden und häufig aus mehreren Angriffsphasen auf verschiedenen Ebenen bestehen, bietet sich den Administratoren und Threat Huntern mit Endpoint Detection and Response (EDR) eine Technik um die getarnten und verschachtelten Angriffe ausfindig zu machen.

Informationen zum Artikel
Deutsch:
Englisch: endpoint detection and response - EDR
Veröffentlicht: 29.04.2019
Wörter: 181
Tags: Netzwerk-Sicherheit
Links: Angriff, Anomalie, Bedrohung, Botnetz, Desktop