Knowledge Base

Back to support overview

Endpoint Detection and Response (EDR) ist eine integrierte Endpoint-Sicherheitslösung, die Telemetriedaten nutzt, um Cyberbedrohungen zu erkennen, zu analysieren und zu beheben. Angetrieben von Malwarebytes ThreatDown stoppt EDR Angriffe auf Workstations und Server mit einer Sicherheit, die das erfasst, was andere Lösungen übersehen.

Dieser Artikel gilt für alle Kunden von Endpoint Detection and Response.

Was ist Endpoint Detection and Response?

Endpoint Detection and Response (EDR) umfasst Cybersicherheits-Tools, die entwickelt wurden, um Bedrohungen, die auf Endgeräte abzielen, in Echtzeit kontinuierlich zu überwachen und zu bekämpfen. Zu diesen Endpunkten gehören alle mit dem Netzwerk verbundenen Geräte, wie Computer, Server, mobile Geräte und IoT-Geräte. EDR-Lösungen sind entscheidend, um bösartige Aktivitäten auf diesen Geräten zu erkennen, zu analysieren und zu neutralisieren.

Kernfunktionen

EDR nutzt mehrere Lösungen, um ein vollständiges Paket für die Sicherheit Ihrer Endgeräte und Server bereitzustellen. Dazu gehören:

  • Kontinuierliche Überwachung: Ständige Datenerfassung von Endgeräten, einschließlich Dateiaktivitäten, Netzwerkverbindungen, Prozessausführungen und Änderungen an der Systemregistrierung.

  • Analyse: Mithilfe von KI und maschinellem Lernen analysiert EDR die gesammelten Daten, um Anomalien zu identifizieren, die auf bösartige Aktivitäten hindeuten können.

  • Bedrohungserkennung: Identifizierung potenzieller Bedrohungen, einschließlich Zero-Day-Schwachstellen.

  • Automatisierte Reaktion: EDR kann automatisch auf entdeckte Bedrohungen reagieren, einschließlich Quarantäne von Dateien und Isolierung infizierter Geräte.

Was ist der Unterschied zwischen Endpoint Detection and Response (EDR) und Endpoint Protection (EPP) Services?

EDR und EPP unterscheiden sich in ihrer Herangehensweise an die Gerätesicherheit.
EDR ist eine Lösung, die darauf ausgelegt ist, fortschrittliche Bedrohungen in Echtzeit zu erkennen, zu untersuchen und darauf zu reagieren. Sie bietet umfassende Sichtbarkeit der Aktivitäten auf Endgeräten, sodass Sicherheitsteams den Umfang und die Art eines Angriffs analysieren können. Durch den Einsatz von Verhaltensanalysen und maschinellem Lernen kann EDR bekannte Bedrohungen, Zero-Day-Schwachstellen, dateilose Angriffe und andere fortgeschrittene Bedrohungen identifizieren. Zudem stellt EDR Werkzeuge für die Incident Response bereit, wie z. B. das Isolieren infizierter Geräte oder das Rückgängigmachen bösartiger Änderungen.

Im Gegensatz dazu basiert signaturbasierter Endgeräteschutz auf vordefinierten Bedrohungssignaturen, um bösartige Aktivitäten zu erkennen und zu blockieren. Dabei werden Dateien oder Prozesse mit einer Datenbank bekannter Malware-Muster verglichen. Diese Methode ist zwar effektiv bei der Abwehr bekannter Bedrohungen, kann jedoch bei neu entwickelter Malware ohne entsprechende Signatur Schwächen zeigen. Der Schwerpunkt liegt hier eher auf der Prävention als auf der Untersuchung oder der Reaktion nach einem Angriff.

Wie greift man auf Endpoint Detection and Response zu

Auf EDR kann in TeamViewer Remote oder über die Web-App im Tab Remote Management im Bereich Endpoint Protection zugegriffen werden.

Wie man den Schutzstatus eines bestimmten Geräts anzeigt

Die empfohlene Methode, um den Status eines bestimmten Geräts abzurufen, ist über die Geräte-Ansicht. Dies geschieht, indem Sie im Geräte-Tab von TeamViewer Remote oder in der Geräteliste auf den Gerätenamen klicken.

Die Geräte-Ansicht  öffnet sich auf der rechten Seite; wählen Sie den Tab mit dem Schild und dem Häkchen, um auf die EDR-Informationen für das Gerät zuzugreifen.

Der die EDR-Geräte-Ansicht  zeigt die grundlegenden Informationen für das Gerät an, darunter:

  • Angewendete Richtlinie

  • Malwarebytes-Gerätename und -Gruppe

  • Erkennungen

  • Verdächtige Aktivitäten

EDR ist in die folgenden Bereiche unterteilt:

  • Geräte
  • Gefundene Objekte
  • Quarantäne
  • Verdächtige Aktivität
  • Reporting

Bitte wählen Sie unten den entsprechenden Tab aus, um weitere Informationen zu jedem Bereich zu erhalten.

Geräte

Im Tab Geräte wird eine Liste aller Geräte angezeigt, zusammen mit den folgenden Informationen:

  • Nebula-Name

  • Gruppe

  • Gerätestatus

  • Status

  • Letzter Scan

  • Zuletzt gesehen

Jedes Gerät, das Aufmerksamkeit erfordert, wird mit Gefährdet als Gerätestatus gekennzeichnet.

Gefundene Objekte

Der Tab Gefundene Objekte bietet eine Übersicht über alle Bedrohungen, die auf Ihren Endgeräten erkannt wurden. Alle Dateien im Tab Gefundene Objekte wurden in Echtzeit identifiziert, analysiert und darauf reagiert, um möglichen Schaden zu minimieren.

Im Falle eines Fehlalarms können Sie automatisch eine Ausnahme erstellen, indem Sie die Bedrohung auswählen und auf +Ausnahme erstellen klicken.

Zu jeder Bedrohung werden die folgenden Informationen angezeigt:

  • Status

  • Kategorie

  • Bedrohung

  • Gerät und Gerätegruppe

  • Scan-Datum

Ein Klick auf den Bedrohungsstatus öffnet die Detailansicht („Threat Drawer“) mit weiteren Informationen zur Erkennung. Diese beinhalten:

  • Erkannte ausführbare Datei/Datei

  • Pfad

  • Dateityp

  • Durchgeführte Aktion

  • Bedrohungskategorie

  • Gerätegruppe

  • Zeitstempel „Gescannt am“ / „Gemeldet am“

Dateien, die in Quarantäne verschoben wurden, können ebenfalls in der Detailansicht wiederhergestellt oder gelöscht werden.

Quarantäne

Quarantänedateien sind Erkennungen, die einer bestimmten Signatur oder einem anderen potenziellen Bedrohungsmerkmal entsprechen, jedoch möglicherweise Fehlalarme sind. Wenn eine potenzielle Bedrohung in Quarantäne verschoben wird, können Sie in diesem Tab die Datei wiederherstellen oder löschen.

Verdächtige Aktivität

Verdächtige Aktivität überwacht potenziell bösartiges Verhalten, indem Prozesse, die Registrierung, das Dateisystem und die Netzwerkaktivität auf dem Endpunkt beobachtet werden. Die Überwachung verdächtiger Aktivitäten verwendet Machine-Learning-Modelle und cloudbasierte Analysen, um zu erkennen, wenn fragwürdige Aktivitäten auftreten.

Bitte beachten Sie, dass nicht alle erkannten Aktivitäten garantiert bösartig sind; auch harmlose Systemvorgänge können einige Erkennungen auslösen.

So exportieren Sie Repors

Endpoint Detection and Response bietet eine Vielzahl von Reports, die Ihnen die benötigten Informationen zum richtigen Zeitpunkt bereitstellen. Um einen Report zu erstellen, navigieren Sie zum Reiter Berichterstellung von Endpoint Protection und wählen Sie oben links +Report erstellen aus.

Geben Sie einen Namen für den Bericht ein und wählen Sie den gewünschten Berichtstyp aus. Geben Sie anschließend die gewünschte Zeitzone ein und klicken Sie auf Weiter.

Wenn der Bericht automatisch erstellt werden soll, geben Sie den gewünschten Zeitplan ein (monatlich, täglich oder wöchentlich). Sie können ihn auch so einstellen, dass er nur bei Bedarf ausgeführt wird.

Legen Sie den gewünschten Berichtszeitraum fest – also die Daten, die im Bericht enthalten sein sollen. Sie können für jeden Bericht einen vordefinierten Zeitraum festlegen oder die Zeiträume jedes Mal manuell eingeben, wenn Sie den gewünschten Bericht ausführen.

Im letzten Schritt fügen Sie die Empfänger hinzu, die den Bericht erhalten sollen. Klicken Sie auf Erstellen, um den Vorgang abzuschließen und den ersten Bericht auszuführen.

Bericht erstellen und senden

Unabhängig davon, ob es sich um einen Bedarfsbericht oder einen geplanten Bericht handelt, können Sie jeden Bericht bei Bedarf ausführen, indem Sie den gewünschten Bericht auswählen und auf ↻ Bericht erstellen und senden klicken.