Zum Inhalt springen
cyber-security.eu
DEEN

Endpoint Detection and Response

EDR liefert Telemetrie und Reaktionsmöglichkeiten direkt auf Endgeräten. Es ist heute Standard in vielen Organisationen und ergänzt klassischen Endpoint-Schutz um Detection und Response.

Für wen ist diese Seite relevant?

IT- und Security-Verantwortliche, SOC-Teams, Einkauf und alle, die EDR bewerten, einführen oder besser nutzen wollen.

Was ist EDR?

Endpoint Detection and Response sammelt detaillierte Telemetrie von Endgeräten, erkennt verdächtiges Verhalten und ermöglicht Reaktionen wie Quarantäne oder Netzwerkisolation - meist zentral steuerbar.

Unterschied zu klassischem Antivirus

Klassischer Virenschutz erkennt überwiegend bekannte Muster. EDR analysiert Verhalten, sammelt Kontext über Prozesse, Netzwerk und Dateioperationen und erlaubt nachvollziehbare Untersuchung. Moderne Lösungen kombinieren beides.

Typische Funktionen

Telemetrie: Prozesse, Befehlszeilen, Netzwerk, Dateien, Skripte.

Verhaltensanalyse: Erkennung verdächtiger Ketten, nicht nur Signaturen.

Isolation: betroffene Geräte vom Netz trennen.

Response: Prozesse beenden, Dateien sammeln, automatisierte Workflows.

Forensik: Rückblick auf vergangene Aktivität.

Grenzen von EDR

EDR schützt nur dort, wo es installiert ist und Telemetrie liefern darf. Server ohne Agent, Drittsysteme oder unbekannte Geräte bleiben außen vor. Ohne Auswertung im SOC oder durch MDR verpufft ein Teil des Werts.

Bedeutung für SOC und Incident Response

Für ein SOC ist EDR oft die wichtigste Logquelle, da Endgeräte das primäre Angriffsziel sind. Im Vorfall liefert EDR Telemetrie für Incident Response und ermöglicht schnelle Eindämmung.

Checkliste

  • EDR auf allen relevanten Endgeräten ausgerollt
  • Server-Workloads ebenfalls erfasst
  • Telemetrie an SIEM oder Detection-Plattform angebunden
  • Klare Verantwortlichkeit für Auswertung
  • Playbooks für typische EDR-Alarme
  • Update- und Ausnahmenmanagement geregelt

Häufige Fragen

+Brauche ich noch klassischen Virenschutz?

Moderne EDR-Lösungen enthalten in der Regel auch klassische Schutzmechanismen. Eine doppelte Lösung verursacht meist mehr Probleme als Nutzen.

+Macht EDR ein SOC überflüssig?

Nein. Ohne menschliche Auswertung und Kontext bleibt vieles ungenutzt. EDR liefert die Daten, das SOC oder ein MDR bewertet sie.

+Wie verhält sich EDR zu XDR?

[XDR](/de/xdr) erweitert die Sicht von Endgeräten um weitere Quellen wie Identität, Mail und Cloud.

Verwandte Themen

Extended Detection and Response

XDR verbindet Telemetrie aus mehreren Quellen, um Bedrohungen schneller und in besserem Kontext zu erkennen. Diese Seite ordnet den Begriff jenseits von Marketing ein.

Managed Detection and Response

MDR ist ein extern betriebener Detection- und Response-Service. Für viele Organisationen ist er der pragmatische Weg zu 24/7-Erkennung ohne eigenes vollständiges SOC.

Was ist ein SOC?

Ein Security Operations Center bündelt Menschen, Prozesse und Technik, um Cyber-Vorfälle früh zu erkennen, strukturiert zu behandeln und nachhaltig zu lernen. Diese Seite zeigt Aufgaben, Modelle und typische Fallstricke.

SIEM

Ein SIEM bündelt Log- und Telemetriedaten, korreliert sie und liefert die Grundlage für Detection und Incident Response. Diese Seite erklärt Funktion, wichtige Datenquellen und typische Fehler.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.

Ransomware: Risiken und Erstmaßnahmen

Ransomware bleibt eines der teuersten Cyber-Risiken. Sie ist meist die Folge einer Verkettung von Schwächen, nicht eines einzelnen Klicks. Diese Seite zeigt typische Muster, wirksame Maßnahmen und eine geordnete Erstreaktion.