Endpoint Detection and Response
2025-01-01

Überblick#

Endpoint Detection and Response (EDR) sammelt Host-Verhalten, erkennt bösartige Aktivitäten und ermöglicht es Respondern, Bedrohungen einzudämmen. Moderne EDR-Plattformen kombinieren Verhaltensanalysen, Threat Intelligence und Remote-Maßnahmen wie Isolation und Speichererfassung.

Kernziele#

  • Hochwertige Endpoint-Telemetrie über Workstations, Server und Cloud-Workloads bereitstellen.
  • Taktiken wie Credential Theft, Persistenz, laterale Bewegung und Ransomware-Ausführung erkennen.
  • Schnelle Reaktion ermöglichen: Hosts isolieren, Prozesse beenden, Persistenz entfernen und Forensik remote sammeln.
  • Mit SIEM/SOAR integrieren, um Alarme anzureichern und Eindämmung zu orchestrieren.

Umsetzungshinweise#

  • Agent-Abdeckungsziel (z. B. >95 %) sichern und auf veraltete Versionen oder deaktivierte Sensoren überwachen.
  • Detections auf Basis von Baselines und threat-informed Hypothesen tunen; Regeln zur ATT&CK-Abdeckung mappen.
  • Response-Aktionen (Isolation, Registry-Änderungen, Skriptausführung) vorab mit Legal/IT freigeben, um Verzögerungen zu vermeiden.
  • EDR-Konsolen mit starker Authentifizierung und Least-Privilege-Rollen schützen; Administratoraktionen protokollieren.

Betriebssignale#

  • Frühindikatoren: Agent-Deployment-/Gesundheitsraten, Latenz von Detection zu Response und False-Positive-Quote neuer Regeln.
  • Spätindikatoren: Erfolgreiche Angreiferverweildauer auf Endpoints, Ransomware-Schaden vor Eindämmung oder Vorfälle durch fehlende Agenten.
  • Feedback-Schleifen: Regelmäßiges Rule-Tuning, Purple-Team-Übungen und Post-Incident-Updates des Detection-Contents.

Runbook-Essentials#

  • Host-Isolation: Signal bestätigen → Host isolieren → Nutzer/Helpdesk informieren → flüchtige Daten sammeln → beheben und Netzwerkzugang wiederherstellen.
  • Credential-Theft-Hunt: LSASS-Zugriffsmuster, ungewöhnliche Kerberos-Tickets und verdächtige Token-Erstellung überwachen; betroffene Credentials zurücksetzen.
  • Sensor-Health-Response: Agenten bei Deinstallation/Deaktivierung automatisch neu bereitstellen oder alarmieren; Abdeckung beim Onboarding prüfen.

Verwandte Praktiken#

  • Endpoint-Härtung, Patch-Management und Application Control reduzieren Rauschen und verbessern Detection-Wirksamkeit.
  • Threat Hunting nutzt EDR-Telemetrie, um Hypothesen zu testen und versteckte Aktivitäten zu finden.
  • Digitale Forensik stützt sich auf EDR-Daten für Zeitlinien und Artefaktsammlung.