Menü
Schutz Ihrer Clients & Server durch Echzeitüberwachung
Schutz Ihrer Clients & Server durch Echzeitüberwachung
Endpoint Detection & Response (EDR) geht einen Schritt weiter als herkömmliche Antivirensoftware und bietet daher eine zusätzliche Sicherheitsschicht: Es werden nicht nur Dateien auf schadhafte Inhalte untersucht, sondern auch die Verhaltensweisen eines Gerätes, beispielsweise hinsichtlich ungewöhnlich hoher Systemauslastungen. So kann ein böswilliges Verhalten dynamisch erkannt werden.
Auch fortschrittliche Bedrohungen und Angriffe sollen identifiziert werden, da sie möglicherweise versuchen, herkömmliche Sicherheitsmaßnahmen zu umgehen. Traditionelle Antivirenprogramme bieten keinen ausreichenden Schutz mehr.
BREKOM bietet mit der KI-gestützten EDR-Lösung von SentinalOne folgende Vorteile:
Sehen
Durch die Analyse von Verhaltensmustern und Anomalien kann das System potenziell schädliche Aktivitäten erkennen, bevor sie zu einem vollständigen Angriff eskalieren.
Schützen
EDR ermöglicht eine schnellere Reaktion auf Sicherheitsvorfälle. Wenn eine Bedrohung erkannt wird, können unsere Security-Experten schnell Gegenmaßnahmen ergreifen, um den Angriff einzudämmen und die Auswirkungen zu minimieren.
Lösen
Wir bieten umfassende forensische Funktionen, die es ermöglicht, Angriffe zu analysieren und zu verstehen. Diese Analyse ist entscheidend, um den Ursprung der Bedrohung zu identifizieren, ihre Auswirkungen zu bewerten und Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
EDR-Lösungen sammeln kontinuierlich Daten von Endgeräten innerhalb eines Netzwerks, beispielsweise Informationen über Prozessaktivitäten, Netzwerkkommunikation, Systemänderungen und Benutzeraktivitäten.
EDR-Lösungen analysieren gesammelte Daten, um Anomalien oder verdächtige Aktivitäten zu identifizieren. Dies kann auf bekannten Bedrohungssignaturen basieren. EDR-Lösungen verwenden aber auch Techniken, wie maschinelles Lernen und Verhaltensanalyse, um bisher noch unbekannte Gefahren zu erkennen.
Wurde eine potentielle Bedrohung identifiziert, wird ein Alarm generiert. Zudem liefert die Software den Administratoren weitere Kontextinformationen.
Auf Basis der Analyse kann die EDR-Lösung automatisiert Reaktionen auslösen, um die Bedrohung zu neutralisieren. Das kann z. B. das Beenden eines schädlichen Prozesses, das Isolieren eines infizierten Endpunkts oder das Löschen einer schadhaften Datei sein.
Darüber hinaus bieten EDR-Systeme Möglichkeiten zur Untersuchung von Sicherheitsvorfällen und zur Behebung von Problemen, z. B. die Suche nach anderen betroffenen Endpunkten und die Wiederherstellung von Systemen auf einen sicheren Zustand.
„Aus eigener Erfahrung haben wir gelernt, dass wir im Kampf gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen schneller und intelligenter handeln müssen, als es mit von Menschen gesteuerter Technologie möglich ist. Überzeugt hat uns BREKOM mit KI-gestützter Prävention, Erkennung und Reaktion in einem Tool.“
IT-Leiter eines mittelständischen Unternehmens aus der Automobilzulieferindustrie
EDR-Lösungen können unbekannte Bedrohungen (Zero-Day-Exploits), Ransomware und fortgeschrittene, gezielte Angriffe erkennen, die traditionelle Antivirus-Lösungen teils nicht identifizieren können.
Endpoint Detection & Response (EDR)-Lösungen sammeln eine Vielzahl von Informationen auf den Endgeräten, um verdächtige Aktivitäten zu identifizieren, Bedrohungen zu erkennen und Sicherheitsvorfälle zu analysieren. Dazu gehören beispielsweise:
Dateiaktivität:
Informationen über den Zugriff, die Erstellung, Änderung oder Löschung von Dateien auf dem Endgerät.
Netzwerkaktivität:
Erfassung von Netzwerkverbindungen, Datenübertragungen und Netzwerkanomalien auf dem Endgerät.
Prozessaktivität:
Überwachung der Ausführung von Prozessen auf dem System, einschließlich Informationen über gestartete, gestoppte oder manipulierte Prozesse.
Registry-Aktivität:
Protokollierung von Änderungen an der Windows-Registry, einschließlich neuer Einträge oder Modifikationen.
Benutzeraktivität:
Aufzeichnung von Benutzeranmeldungen, -abmeldungen und anderen Aktivitäten im Zusammenhang mit Benutzerkonten.
System- und Sicherheitsereignisse:
Protokollierung von Ereignissen und Warnungen, die auf Sicherheitsvorfälle oder potenzielle Bedrohungen hinweisen könnten.
Speicheraktivität:
Überwachung des Speicherverbrauchs und der Speicherzugriffe auf dem Endgerät.
Geräte- und Hardwareinformationen:
Sammeln von Daten über die installierte Hardware, Gerätekonfiguration und Gerätestatus.
Laufende Dienste und Anwendungen:
Erfassen von Informationen über laufende Dienste, Anwendungen und deren Aktivitäten auf dem Endgerät.
Anomalieerkennung:
Identifikation von anomalen Verhaltensweisen oder Abweichungen von normalen Betriebsmustern.
Systemkonfigurationsänderungen:
Protokollierung von Änderungen an Systemeinstellungen oder Konfigurationen.
Die Effizienz der EDR-Lösung spielt eine entscheidende Rolle. Moderne und gut optimierte Lösungen verbrauchen weniger Ressourcen. Folgende Faktoren spielen dabei u.a. eine Rolle:
Systemressourcen des Endgeräts:
Die Leistung eines Systems hängt von seiner Hardware, insbesondere von CPU, RAM und Festplattenspeicher, ab. Neuere und leistungsfähigere Systeme können sehr gut mit EDR-Lösungen umgehen.
Parallelität und Multithreading:
EDR-Lösungen, die Multithreading und parallele Verarbeitung unterstützen, können besser mit den Ressourcen umgehen und die Auswirkungen auf die Leistung minimieren.
Die von uns eingesetzte Lösung des Herstellers SentinelOne bietet einen Agenten für Windows, MacOS und Linux. Der Agent selbst ist sehr schlank und benötigt lediglich 1-2% der CPU-Performance. Dadurch kann er auch problemlos auf Produktionssystemen, Embedded Windows, Kassensystemen und ähnlichen Anwendungsfeldern eingesetzt werden.
