Endpoint-Detektion und Reaktion (EDR)
EDR ist eine Cybersicherheitstechnologie, die Endpoint-Geräte für bösartige Aktivitäten überwacht und Bedrohungen in Echtzeit erkennen und reagieren kann.
Endpoint Detection and Response (EDR)-Lösungen wurden entwickelt, um Endpunktgeräte wie Laptops, Desktops und Server vor Cyber-Bedrohungen zu schützen. EDR-Systeme überwachen kontinuierlich die Endpunktaktivität und sammeln Daten über Prozesse, Dateizugriffe, Netzwerkverbindungen und andere relevante Ereignisse. Diese Daten werden dann analysiert, um verdächtiges Verhalten und potenzielle Sicherheitsverstöße zu erkennen. EDR-Tools bieten Echtzeit-Bedrohungserkennung, Reaktion auf Vorfälle und forensische Fähigkeiten, sodass Sicherheitsteams Sicherheitsvorfälle schnell identifizieren, untersuchen und beheben können. Sie werden häufig in andere Sicherheitstools wie Security Information and Event Management (SIEM)-Systeme integriert, um eine umfassende Sicherheitslage zu gewährleisten.
graph LR
Center["Endpoint-Detektion und Reaktion (EDR)"]:::main
Pre_cryptography["cryptography"]:::pre --> Center
click Pre_cryptography "/terms/cryptography"
Rel_network_security["network-security"]:::related -.-> Center
click Rel_network_security "/terms/network-security"
Rel_firewall["firewall"]:::related -.-> Center
click Rel_firewall "/terms/firewall"
Rel_smart_contract_security["smart-contract-security"]:::related -.-> Center
click Rel_smart_contract_security "/terms/smart-contract-security"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 Wissenstest
🧒 Erkläre es wie einem 5-Jährigen
Stell dir das wie einen superintelligenten Wachmann für deinen Computer vor, der alles beobachtet, was passiert, lernt, was normal ist, und sofort alles Verdächtige stoppt, bevor es Ärger machen kann.
🤓 Expert Deep Dive
EDR-Lösungen stellen eine Weiterentwicklung von signaturbasierten Antivirenprogrammen dar und konzentrieren sich auf Threat Hunting und Incident Response. Architektonisch umfasst EDR einen Agenten, der auf jedem Endpunkt installiert ist und für die Datenerfassung (Telemetrie) und lokale Analyse zuständig ist. Relevante Ereignisse werden an eine zentrale Managementkonsole oder eine Cloud-basierte Analyseplattform übermittelt. Das Herzstück von EDR ist die Erkennungs-Engine, die Techniken wie Indicators of Compromise (IoCs), Indicators of Attack (IoAs), Verhaltensmodellierung, Anomalieerkennung nutzt und oft Threat-Intelligence-Feeds integriert. Fortgeschrittene EDR-Plattformen nutzen die Integration mit SIEM (Security Information and Event Management) für einen breiteren Kontext und UEBA (User and Entity Behavior Analytics), um Endpunktaktivitäten mit dem Benutzerverhalten zu korrelieren. Reaktionsfähigkeiten sind entscheidend und reichen von automatisierter Behebung (z. B. Prozessbeendigung, Dateiquarantäne) bis hin zu manuellen Eingriffen über Remote-Shell-Zugriff für forensische Analysen. Die Effektivität von EDR hängt stark von der Qualität und Breite der gesammelten Telemetriedaten, der Raffinesse der Erkennungsalgorithmen und den Fähigkeiten der Sicherheitsexperten ab, die die Plattform nutzen.