Was ist eigentlich eine EDR-Lösung?
Definition:
EDR steht für Endpoint Detection and Response und bezeichnet in der Regel eine Softwarelösung, die Unternehmen dabei hilft Cyberbedrohungen frühzeitig zu erkennen. Diese Systeme schlagen an, wenn präventive Abwehrmaßnahmen überwunden wurden und sind darüber hinaus in der Lage mit Gegenmaßnahmen darauf zu reagieren. EDR-Lösungen überwachen und analysieren kontunuierlich die angebunden IT-Systeme des Unternehmens. Reaktionen auf Anomalien oder als bösartig definierte Alerts können autmatisierte Reaktionen erfolgen.
Wie funktioniert eine EDR-Lösung genau?
Endgeräte wie z. B. PCs, Server oder mobile Devices werden jeweils mit einem Software-Agent ausgestattet. Dieser erfasst in Echtzeit die Aktivitäten und Ereignisse auf den Geräten. Diese Daten werden an die EDR-Plattform gesendet, wo eine Analyse stattfindet, um verdächtiges Verhalten zu identifizieren. Durch diesen Prozess lernt die Plattform kontinuierlich dazu. Bei verdächtigen Aktivitäten werden Alarme ausgelöst, die dann von Experten angeschaut und gelöst werden müssen. Überwachte Aktivitäten sind u.a.:
- Starten und Beenden von Prozessen
- Erstellen und Löschen von Dateien
- Zugriffe auf die Windows-Registry
- Event Logs des Betriebssystems
- Software-Installation oder -Deinstallation
- Benutzeranmeldung, -abmeldung oder-erstellung
Eine EDR-Lösung braucht Expertise und wird daher auch häufig als Managed Endpoint Detection & Response am Markt angeboten.