Geekflare
Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Sicherheit  |  Zuletzt aktualisiert: September 24, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

13 EDR-Tools zum schnellen Aufspüren von und Reagieren auf Cyberangriffe

Unter

Wenn Präventionsmechanismen versagen, ermöglichen EDR-Tools (Endpoint Detection and Response) eine schnelle Reaktion, die den Schaden auf ein Minimum beschränkt.

Im Falle eines Cyberangriffs zählt jede Sekunde. Die durch einen Angriff verursachten Verluste können sich mit jeder Minute vervielfachen. Deshalb ist eine frühzeitige Erkennung der Schlüssel zur Minimierung der Auswirkungen eines Cyberangriffs. EDR-Tools sind ein wertvoller Verbündeter, wenn es darum geht, einen gefährlichen Cybersecurity-Vorfall schnell zu entschärfen.

Rechtzeitiges Reagieren ist wichtig

Je länger Cyber-Kriminelle unbemerkt in ein Unternehmensnetzwerk eindringen können, desto mehr Daten sammeln sie und desto näher kommen sie an kritische Unternehmensressourcen heran. Deshalb sollten Unternehmen Cyberangriffe eindämmen, indem sie die Angriffszeit reduzieren und sie stoppen, bevor der Schaden irreparabel ist.

Im Jahr 2013 definierte das Beratungsunternehmen Gartner Group EDR-Tools als eine neue Cybersicherheitstechnologie, die Endgeräte in einem Netzwerk überwacht und sofortigen Zugang zu Informationen über einen laufenden Angriff bietet. Laut Gartner verschaffen EDR-Tools nicht nur Einblick in die Angriffsinformationen, sondern helfen dem IT-Sicherheitspersonal auch, schnell zu reagieren, indem sie das angegriffene Gerät unter Quarantäne stellen, bösartige Prozesse blockieren oder Verfahren zur Reaktion auf einen Vorfall ausführen.

Was ist ein Endpunktgerät?

Unter Netzwerken wird ein Endpunkt als jedes Gerät definiert, das mit den Rändern eines Datennetzwerks verbunden ist. Dazu gehören Computer, Telefone und Kundenservice-Kioske ebenso wie Drucker, POS-Terminals und IoT-Geräte (Internet of Things). Insgesamt stellen die Endpunkte eine Herausforderung für Netzwerksicherheitsadministratoren dar, da sie der am stärksten gefährdete Teil des Netzwerks sind und potenzielle Angriffspunkte für Cyberangreifer darstellen.

Grundlegende Komponenten von EDR

EDR-Tools setzen sich aus drei notwendigen Komponenten zusammen:

  • Datensammlung - Softwarekomponenten, die auf Endgeräten laufen und Informationen über laufende Prozesse, Anmeldungen und offene Kommunikationskanäle sammeln.
  • Erkennung - analysiert die regelmäßigen Aktivitäten des Endgeräts, erkennt Anomalien und meldet solche, die einen Sicherheitsvorfall bedeuten könnten.
  • Datenanalyse - gruppiert Informationen von verschiedenen Endpunkten und liefert Echtzeit-Analysen über Sicherheitsvorfälle im gesamten Unternehmensnetzwerk.

Zu den wünschenswerten Merkmalen einer EDR-Lösung gehört die intelligente Identifizierung von Indikatoren für eine Gefährdung (Indicators of Compromise) - IoCs) auf den Endpunkten. Diese Indikatoren ermöglichen es, die Informationen eines laufenden Vorfalls mit den bei früheren Ereignissen aufgezeichneten Daten zu vergleichen, um die Bedrohung schnell zu identifizieren und keine Zeit mit der Analyse zu verschwenden, die für die Abwehr des Angriffs nicht sinnvoll wäre.

Weitere wichtige Aspekte von EDR-Lösungen sind forensische Analysen und Warnmeldungen, die IT-Mitarbeiter bei einem Vorfall benachrichtigen und ihnen einen schnellen Zugriff auf alle Informationen über den Vorfall ermöglichen. Ein angemessener und leicht zugänglicher Kontext des Vorfalls ist unerlässlich, damit das Sicherheitspersonal alles hat, was es zur Untersuchung des Vorfalls benötigt. Wichtig ist auch, dass die EDR-Lösung eine Tracking-Funktionalität bietet, um sowohl andere von dem Angriff betroffene Endpunkte zu identifizieren als auch den Endpunkt zu ermitteln, der zum Eindringen in das Netzwerk verwendet wurde.

Automatisierte Reaktionen sind ebenfalls ein wünschenswerter Aspekt einer EDR-Lösung. Solche Reaktionen bestehen aus proaktiven Initiativen wie dem Blockieren des Netzwerkzugriffs, dem Blockieren einzelner Prozesse oder dem Ergreifen anderer Maßnahmen, die den Angriff eindämmen oder abschwächen könnten.

Lassen Sie uns einen Blick auf einige der besten EDR-Tools werfen, die Sie verwenden können.

Heimdal Sicherheit

Heimdal bietet einen mehrschichtigen EDR-Ansatz mit einer Reihe von Technologien, die an jedes Unternehmensszenario angepasst werden können und alle potenziellen Sicherheitslücken abdecken. Die EDR-Lösung bietet Threat Hunting, kontinuierliche Überwachung, lokales und Cloud-Scanning sowie Threat Blocking mit Next-Gen-Telemetrie.

Die Lösung von Heimdal verbindet EPP mit EDR zu einem Sicherheitsmodell namens E-PDR: Endpoint Prevention, Detection, and Response. E-PDR verwendet DNS-basierten Angriffsschutz und Patching, kombiniert mit sofortigen Reaktionsstrategien, die fortschrittliche Cyber-Bedrohungen aller Art abwehren.

Mithilfe eines umfassenden Ansatzes zur Datenanalyse und dem Vergleich von Daten, die von den Endpunkten gesammelt wurden, mit Bedrohungsdatenquellen verfolgt Heimdal alle Endpunktaktivitäten und reagiert auf Sicherheitsvorfälle. Durch das Hinzufügen der Option zur Verwaltung von Desktop-Rechten deckt es alle Empfehlungen von Gartner für Sicherheitsprojekte in einer Lösung ab: #1, Verwaltung des privilegierten Zugangs, #2, Schwachstellen-Management, und #3 Erkennung und Reaktion.

Höhepunkte

  • Darklayer GUARD kümmert sich um die Filterung des DNS-Verkehrs, um Bedrohungen zu verhindern, zu erkennen und zu blockieren.
  • VectorN Detection wendet maschinelles Lernen zur Erkennung von Verhaltensmustern an, um eine intelligente Bedrohungsjagd durchzuführen.
  • X-Ploit Resilience führt eine automatische Software-Inventarisierung, Schwachstellenverwaltung und automatisches Software-Patching durch.
  • Thor AdminPrivilege ist das Zugriffsverwaltungsmodul von Heimdal, das die Sicherheit von Endgeräten und die Verwaltung von Administratorrechten verbessert.

Kaspersky

Die EDR-Lösung von Kaspersky ist in erster Linie auf die Abwehr von breit angelegten und mehrstufigen Angriffen ausgerichtet. Da sie auf der gleichen Plattform wie Kaspersky Anti Targeted Attack (KATA) implementiert ist, kann KEDR mit KATA kombiniert werden, um Angriffe auf die Netzwerkendpunktinfrastruktur effektiv zu erkennen und zu bekämpfen.

YouTube Video

Die Komplexität von Breitband-Angriffen macht es unmöglich, sie auf der Ebene einzelner Server oder Workstations zu erkennen. Aus diesem Grund automatisiert KEDR die Datenerfassungsprozesse und analysiert automatisch verdächtige Aktivitäten entlang der gesamten Endpunktinfrastruktur, wobei eine Kombination aus maschinellem Lernen, Big Data und menschlichem Fachwissen zum Einsatz kommt. Parallel dazu überwacht die System Watcher-Technologie das Verhalten jeder Anwendung, nachdem sie auf einem Server oder Terminal gestartet wurde, um bösartige Verhaltensmuster zu erkennen.

KEDR verwendet eine einzige Konsole zur detaillierten Anzeige und Überwachung aller Ereignisse, einschließlich der eingegangenen Erkennungen und der Ergebnisse der Endpunktüberprüfung von Kompromittierungsindikatoren (IoCs). Kaspersky hat eine große Anzahl von Kunden im Unternehmenssegment, die ihr Sicherheitsnetzwerk mit der Art von Bedrohungen füttern, die große Unternehmen aushalten müssen.

Höhepunkte

  • Verhaltenserkennung mit automatischem Rollback.
  • Abwehr von mobilen Bedrohungen und EMM-Integration.
  • Host-basierte Intrusion Prevention (HIPS).
  • Schwachstellenbewertung und Patch-Management.
  • Anwendungskontrolle mit kategoriebasiertem Whitelisting.

Bitdefender

Bitdefender GravityZone zielt darauf ab, die Angriffsfläche am Endpunkt eines Netzwerks zu minimieren, so dass es für Angreifer schwierig wird, in das Netzwerk einzudringen. Um den Overhead am Endpunkt zu minimieren, bietet die Lösung Risikoanalysen für Endpunkt und Benutzerverhalten in einem einzigen Agenten und einer einzigen Konsolenarchitektur.

Dieser integrierte Ansatz für die Endpunktsicherheit reduziert die Anzahl der Anbieter, die Gesamtbetriebskosten und die Zeit, die für die Reaktion auf Bedrohungen benötigt wird.

Anhand einer verständlichen, nach Prioritäten geordneten Liste hilft die Risikoanalyse-Engine von Bitdefender dabei, Fehlkonfigurationen und -einstellungen der Endpunktsicherheit zu härten und darüber hinaus Benutzerverhalten zu identifizieren, das Sicherheitsrisiken für das Unternehmen darstellt. Bitdefender fügt eine neue Endpunkt-Sicherheitsebene namens Network Attack Defense hinzu, die Angriffsversuche verhindern soll, die bekannte Schwachstellen ausnutzen.

Auf Netzwerkströmen basierende Angriffe, wie z.B. Lateral Movement, Brute Force oder Passwortdiebstahl, werden blockiert, bevor sie ausgeführt werden können.

Höhepunkte

  • Datenschutz über ein Zusatzmodul zur vollständige Festplattenverschlüsselung.
  • Abstimmbares maschinelles Lernen, Prozessinspektion in Echtzeit und Sandbox-Analyse für die Erkennung und Beseitigung von Malware vor der Ausführung.
  • Sichtbarkeit von Angriffen vor und nach der Kompromittierung.
  • Aktuelle und historische Datensuche auf der Grundlage von IOCs, MITRE-Tags, Prozessen, Dateien, Registrierungseinträgen oder anderen Parametern.

Snort

Snort ist ein Open-Source-Netzwerk-Intrusion-Detection-System (NIDS), das von Cisco Systems entwickelt wurde.

Es arbeitet als Paket-Sniffer, der Daten untersucht, während sie im Netzwerk zirkulieren. Snort hat ein eigenes Datenformat, das von vielen anderen Entwicklern von Intrusion Detection Systemen zum Austausch von Bedrohungsinformationen verwendet wird. Snort fängt Netzwerkpakete ab, analysiert sie und speichert die Analyseergebnisse entweder in einer Protokolldatei oder zeigt sie in einer Konsole an.

Snort kann auch nur dazu verwendet werden, eine Reihe von Regeln auf die Netzwerkpakete anzuwenden und den Benutzer zu alarmieren, wenn es bösartige Inhalte identifiziert. Es kann auf einem einzelnen Desktop-System zum persönlichen Schutz eingesetzt werden, aber es kann viel Arbeit erfordern, es richtig zu konfigurieren, um es effektiv zu nutzen.

Außerdem gibt es keine Standard-GUI, um alle Konfigurationen vorzunehmen, so dass es nicht gerade ein Produkt für Anfänger ist. Auf der Snort-Website finden Sie eine umfangreiche Dokumentation und Beispielkonfigurationsdateien, die die Arbeit für Sicherheitsadministratoren vereinfachen.

Höhepunkte

  • Das am weitesten verbreitete Intrusion Prevention System: Über 5 Millionen Downloads und über 600.000 registrierte Benutzer.
  • Kompatibel mit x86-Betriebssystemen - Linux, FreeBSD, NetBSD, OpenBSD, Windows - und Sparc Solaris, PowerPC MacOS X, MkLinux, PA-RISC HP-UX.
  • Benötigt eine zweite Ethernet-Schnittstelle für das "Snorting" und eine große Festplatte für die Speicherung der Protokolldaten.
  • Es kann zur Erkennung verschiedener Arten von SQL-Injection-Angriffen verwendet werden.

SentinelOne

Singularität von SentinelOne ist eine umfassende Endpoint Protection Platform (EPP), die EDR-Funktionen enthält. Es bietet einige Funktionen, die es von den anderen abheben. Besonders hervorzuheben ist die Ransomware-Rollback-Funktion, ein Wiederherstellungsprozess, der den durch Ransomware-Angriffe verursachten Schaden rückgängig macht.

SentinelOne-Agenten lassen sich problemlos auf allen Arten von Endpunkten installieren: Windows- oder Linux-Rechner, POS-Geräte, IoT, und viele andere. Der Installationsprozess ist einfach und schnell. Benutzer berichten, dass es nur zwei Tage dauert, um Agenten auf Hunderten oder Tausenden von Endpunkten in ihren Unternehmensnetzwerken zum Laufen zu bringen.

Die Benutzeroberfläche von SentinelOne bietet einen Einblick in die Prozesse auf jedem der Endpunkte sowie praktische Such- und forensische Analysetools. Das Produkt wird kontinuierlich weiterentwickelt und mit erstaunlicher Geschwindigkeit um neue Funktionen ergänzt.

Höhepunkte

  • Single-Agent-Technologie: verwendet eine statische KI-Engine für den Schutz vor der Ausführung.
  • KI ersetzt die traditionelle signaturbasierte Erkennung.
  • Verhaltensbasierte KI für laufende Prozesse, die alle Vektoren abdeckt: dateibasierte/dateilose Malware, Dokumente, Skripte, usw.
  • Automatisierte EDR-Aktionen: Netzwerkisolierung, automatische Immunisierung von Endpunkten, Rollback von Endpunkten in den Zustand vor der Infektion.

Sophos

Sophos Intercept X ist eine schnelle, schlanke und kompakte Lösung, die Endpunkte in einem Netzwerk vor den Bedrohungen schützt, denen sie ausgesetzt sind. Seine wichtigste Eigenschaft ist, dass es effektive Schutzmechanismen bietet, die nur wenige Ressourcen auf den Client-Geräten verbrauchen.

Intercept X agiert als extrem engagierter Sicherheitswächter, was vom Standpunkt der Verteidigung aus gesehen großartig ist. Benutzer berichten jedoch, dass es möglicherweise mehr Ereignisse blockiert, als es sollte, was bei der Erkennung von Bedrohungen zu vielen falsch positiven Ergebnissen führen kann.

Das Tool bietet eine zentralisierte Management-Cloud-Plattform, über die Sie den Schutz von Servern und Endpunkten von einem einzigen Ort aus steuern können. Diese Plattform vereinfacht die Arbeit der Systemadministratoren, indem sie die Überprüfung des Status der gefundenen Bedrohungen, die Analyse von Zugriffen auf blockierte URLs usw. erleichtert. Darüber hinaus bietet es Firewall-Funktionen, die seine Nützlichkeit als Antivirenprogramm ergänzen.

Höhepunkte

  • Entwickelt für Sicherheitsanalysten und IT-Manager.
  • Verfügbar für Windows, macOS und Linux.
  • Anpassbare SQL-Abfragen für den Zugriff auf bis zu 90 Tage an historischen und aktuellen Daten.
  • Auf maschinellem Lernen basierende Priorisierung von Vorfällen.

CrowdStrike

Für kleine oder mittlere Unternehmen, die sich kein Team von IT-Sicherheitsspezialisten leisten können, bietet die Lösung Falcon Complete von CrowdStrike niedrige Anschaffungs-, Einführungs- und Wartungskosten.

Trotz der niedrigen Kosten steht die Effektivität nicht hinter der anderer Lösungen zurück. Falcon Complete-Benutzer heben die Schnelligkeit und Proaktivität hervor, die dafür sorgen, dass in dem Moment, in dem Systemadministratoren über eine Bedrohung informiert werden, diese bereits durch das EDR-Tool blockiert und entfernt wurde.

Als Ergänzung zur EDR Falcon-Lösung bietet CrowdStrike einen verwalteten Service zur Erkennung, Jagd und Entfernung von Bedrohungen an, der sich durch seine Schnelligkeit und Genauigkeit auszeichnet. Der Service ist ideal, um die Systemmitarbeiter des Kundenunternehmens für Aufgaben freizusetzen, die enger mit ihrem Geschäft verbunden sind, anstatt Zeit mit Bedrohungen zu verschwenden, die die CrowdStrike-Analysten abzuwehren wissen.

Höhepunkte

  • Verwendung von IOAs (Angriffsindikatoren) zur automatischen Erkennung von Angreiferverhalten und zum Senden von priorisierten Warnmeldungen an die Benutzeroberfläche.
  • Die Priorisierung von Vorfällen reduziert die Ermüdung durch häufige Alarme um 90% oder mehr.
  • MITRE-basiertes Erkennungs-Framework und CrowdScore Incident Workbench.
  • Der Kernel-Mode-Treiber von Falcon Insight erfasst über 400 Roh-Ereignisse und zugehörige Informationen, die zur Rückverfolgung von Vorfällen erforderlich sind.

Schwarzer Kohlenstoff

Viele Sicherheitstools verwenden einen signaturbasierten Mechanismus zur Erkennung von Bedrohungen. Dieser Mechanismus ermittelt die Signatur jeder möglichen Bedrohung und sucht sie in einer Datenbank, um sie zu identifizieren und zu bestimmen, wie sie zu neutralisieren ist. Das Hauptproblem bei diesem Mechanismus ist, dass es beim Auftreten einer neuen Bedrohung einige Zeit dauert, bis die Signatur ermittelt ist und herkömmliche Erkennungstools lernen, wie sie zu identifizieren ist.

Um das Problem der signaturbasierten Erkennung zu umgehen, verwenden Sie Lösungen wie Schwarzer Kohlenstoff heuristische Methoden, um potenzielle Bedrohungen zu erkennen. Im speziellen Fall von Carbon Black behaupten Benutzer, dass das Tool in der Lage ist, zahlreiche hochentwickelte Bedrohungen zu erkennen und zu blockieren, lange bevor deren Signaturen verfügbar sind. Die forensischen Analysetools von Carbon Black werden von den Anwendern auch wegen der Tiefe ihrer Analysen und der Detailgenauigkeit ihrer Berichte sehr geschätzt.

Das VMware-Tool ist ideal für fortgeschrittene Sicherheitsteams. Es ermöglicht Ihnen die Definition detaillierter Regeln zum Abfangen von Angriffen auf Endpunkte und bietet Tools zur manuellen Bedrohungsjagd.

Höhepunkte

  • Vor-Ort, virtuelle private Cloud, SaaS oder MSSP.
  • Automatisierung über Integrationen und offene APIs.
  • Remediation aus der Ferne: Mit Live Response können Mitarbeiter, die auf Vorfälle reagieren, eine sichere Verbindung zu infizierten Hosts herstellen, um Dateien zu ziehen oder zu verschieben, Prozesse zu beenden und Speicherauszüge zu erstellen.
  • Kontinuierlich aufgezeichnete Endpunktdaten versorgen Sicherheitsexperten mit den Informationen, die sie benötigen, um Bedrohungen in Echtzeit zu jagen.

Cynet 360

DasEDR-Produkt von Cynet zeichnet sich durch den Einsatz von Täuschungsmanövern zur Erfassung und Neutralisierung von Bedrohungen aus. Bei den Täuschungsmanövern kann es sich um Dateien, Benutzerkonten und Gerätekonten handeln, die im Netzwerk um die sensibelsten Bereiche herum installiert werden, um potenzielle Angreifer anzulocken und sie daran zu hindern, in das Netzwerk einzudringen.

Benutzer von Cynet 360 heben die einfache Installation der Agenten auf den Endpunkten hervor sowie die übersichtliche Konsole, die detaillierte und leicht verständliche Ergebnisse liefert. Das Software-Tool wird von einem SOC (Security Operations Center) unterstützt, das aus Malware-Ingenieuren und ethischen Hackern besteht, die sofort in Aktion treten, wenn bei einem ihrer Kunden ein Vorfall eintritt.

Die mandantenfähige Architektur der Cynet-Plattform ist für Wiederverkäufer geeignet, da sie den Support für zahlreiche Kunden vereinfacht. Andererseits erleichtern maßgeschneiderte Apps, die die Sicherheitslage des gesamten Unternehmens auf Android-, iOS- und Smart-TV-Geräten anzeigen, den Wiederverkäufern das Angebot von Cynet 360 für ihre Kunden.

Höhepunkte

  • Hochgeschwindigkeitsbereitstellung: bis zu 50K Hosts/Server an einem Tag.
  • Automatische Erkennung und selbständige Bereitstellung auf neuen Rechnern.
  • Schutz von Hosts, Servern und virtuellen Umgebungen.
  • Kompatibilität mit Windows, macOS und fünf Linux-Varianten.

Zytomisch

Der Geschäftsbereich Zytomisch von Panda Security bietet eine Sicherheitsplattform, die speziell für große Unternehmen entwickelt wurde, die Endpunkte in Netzwerken schützen müssen, die über verschiedene Kontinente verteilt sind und in denen jeweils unterschiedliche Betriebsteams arbeiten. Die Lösung ermöglicht es den IT-Mitarbeitern des Unternehmens, sich von einem zentralen Punkt aus einen vollständigen Überblick über die Sicherheitslage zu verschaffen, während die Verwaltung und die tägliche Arbeit an die lokalen Teams in jedem Land delegiert werden, die jeweils über eine eigene Verwaltungskonsole verfügen.

Die Einführung von Sicherheitsagenten auf Windows-Workstations und -Servern erfolgt problemlos, obwohl die Linux-Kompatibilität nicht für alle Distributionen gewährleistet ist. Ein Threat Hunting Service, der direkt von Panda Security angeboten wird, ist eine wertvolle Ergänzung zu dem Tool, da sie ein Support-Team anbieten, das immer verfügbar, aufmerksam und bereit ist, bei jedem Vorfall zu helfen. Die Kosten für die Lösung gehören zu den niedrigsten in der Produktpalette, die für Firmenkunden geeignet ist.

Höhepunkte

  • Der Threat Hunting Service ist in den Produkten enthalten.
  • Exploit-basierte Angriffe werden blockiert.
    Retrospektive und Echtzeit-IoC-Suche.
  • Erweiterte Warnmeldungen werden priorisiert und auf das MITRE ATT&CK-Framework abgebildet.

MVISION

Mit MVISION bietet McAfee eine wartungsarme Cloud-Lösung, die es Sicherheitsanalysten ermöglicht, sich auf die strategische Verteidigung von Netzwerken zu konzentrieren, anstatt ihre Zeit mit routinemäßigen Verwaltungsaufgaben zu verbringen. Mit einer Technologie zur Untersuchung von Bedrohungen, die auf künstlicher Intelligenz basiert, gelingt es MVISION, die Erkennungs- und Reaktionszeiten zu verkürzen und die Vorfälle zu priorisieren, die mit größter Dringlichkeit behandelt werden müssen.

Das McAfee-Tool soll als Assistent für SOC-Agenten dienen, indem es die Endpunkt-Infrastruktur aus verschiedenen Quellen sammelt, zusammenfasst und visualisiert. Auf diese Weise ist es möglich, die Anzahl der im SOC benötigten Ressourcen zu reduzieren. Um die Installation zu vereinfachen und die Wartungskosten zu senken, kann MVISION in die McAfee ePolicy Orchestrator (ePO)-Managementplattform integriert werden, unabhängig davon, ob es sich um eine Vor-Ort-Lösung oder eine SaaS-Lösung handelt.

MVISION-Anwender betonen die erheblichen Kostensenkungen - bei Hardware, Software, Energieverbrauch im Rechenzentrum und Zeitaufwand für Wartungsaufgaben -, die sie nach der Implementierung der McAfee EDR-Lösung erzielt haben.

Höhepunkte

  • Online-/Offline-Schutz für iOS und Android vor Phishing, Zero-Day-Angriffen und Datenverlust.
  • Maschinelles Lernen, Schutz vor dem Diebstahl von Anmeldeinformationen und Wiederherstellung der grundlegenden Sicherheitsfunktionen des Betriebssystems.
  • Verwaltung aus einer Hand.
  • Vor-Ort-Verwaltung mit McAfee ePO oder SaaS-basierte Verwaltung mit MVISION ePO.

Cybereason

Cybereason EDR verwendet sowohl einen signaturbasierten als auch einen verhaltensbasierten Ansatz, um Bedrohungen zu erkennen und Risiken in seiner Umgebung zu reduzieren.

Es kann alle Arten von Ransomware, einschließlich dateiloser Angriffe, automatisch erkennen und blockieren. Alle relevanten Informationen zu jedem Angriff werden in einer intuitiven Ansicht zusammengefasst, die als Malop bezeichnet wird - kurz für Malicious Operation. Der Malop enthält alle zugehörigen Angriffselemente, einschließlich aller betroffenen Rechner und Benutzer, der Hauptursache, der ein- und ausgehenden Kommunikation und sogar eine Zeitleiste des Angriffs.

Mit Cybereason EDR können Alarme dem MITRE ATT&CK Framework zugeordnet werden, so dass Analysten komplexe Erkennungen mit einem Blick verstehen können. Auf diese Weise verkürzt das SOC die Zeit, die für die Sichtung von Alarmen benötigt wird, und beschleunigt die Priorisierung und Abhilfe. Die Expertenteams von Cybereason überwachen Ihre Umgebung rund um die Uhr, reagieren aktiv auf Bedrohungen und erweitern die Kapazität Ihres eigenen Sicherheitsteams.

Eine einzige Überwachungsplattform bietet einen Überblick über alle bösartigen Aktivitäten auf jedem Rechner und in jedem Prozess. Sicherheitsagenten können den gesamten Prozessbaum mit einer detaillierten Zeitleiste der Ereignisse einsehen und mit einem einzigen Klick Prozesse beenden, Dateien unter Quarantäne stellen, Persistenzmechanismen entfernen, die Ausführung von Dateien verhindern und Rechner isolieren.

Höhepunkte

  • Mit der interaktiven Dateisuche und der nativen Unterstützung von YARA-Regeln können wir bösartige Dateien auf Windows-, macOS- und Linux-Rechnern aufspüren.
  • Mit Cybereason Deep Response kann Ihr Team Speicherauszüge, Registrierungsdateien, Ereignisprotokolle, MFTs und NTFS-Transaktionsinformationen abrufen.
  • Bereitstellung innerhalb von nur 24 Stunden, mit Cloud- oder Vor-Ort-Optionen.
  • Die Komponente Cybereason Threat Finder spürt bösartige Aktivitäten, Taktiken und Verfahren auf, die von Angreifern in realen Kampagnen verwendet werden.

ESET

ESET Enterprise Inspektor arbeitet mit der ESET Endpoint Protection Platform zusammen und bietet eine umfassende Präventionslösung zum Schutz vor Ransomware, zur Erkennung fortgeschrittener persistenter Bedrohungen, zum Stoppen dateiloser Angriffe und zum Blockieren von Zero-Day-Bedrohungen. Es verwendet eine einzigartige, auf Verhalten und Reputation basierende Erkennungs-Engine, die für SOCs völlig transparent ist.

Alle Regeln können über XML-Dateien bearbeitet werden, um eine Feinabstimmung zu ermöglichen.

Die Lösung von ESET ermöglicht es Entwicklern, ihre Lösungen über eine API zu integrieren, die Zugriff auf Erkennungs-/Beseitigungsdaten bietet. Auf diese Weise können sie Tools wie Ticketing-Systeme, SIEM (Security Information and Event Manager), SOAR (Security Orchestration Automation and Response) und andere integrieren.

Ein weiteres herausragendes Merkmal von Enterprise Inspector ist seine PowerShell-Fähigkeit, mit der Sicherheitstechniker die Endpunkte aus der Ferne inspizieren und konfigurieren können.

Fazit

Abgesehen von den möglichen Unterschieden bei den Kosten, der Erkennungsleistung oder den Mehrwertfunktionen erfüllen alle in diesem Artikel genannten Tools die Aufgabe, die Endpunkt-Infrastruktur eines Netzwerks zu schützen. Es ist wichtig, das für die Bedürfnisse des jeweiligen Unternehmens am besten geeignete Tool auszuwählen, aber noch wichtiger ist es, unverzüglich zu handeln, sich der Bedrohungen bewusst zu sein, denen Netzwerkendpunkte ausgesetzt sind, und sie mit einem EDR-Tool von erwiesener Wirksamkeit zu schützen.

  • Lakshman Sharma
    Autor
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Sicherheit
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Brightdata
    Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Montag.com
    Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Eindringling
    Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder