Fragen und Antworten zu „Endpoint Detection and Response (EDR)“

Die Definition, die Zusammenhänge und Funktion heutiger EDR-Lösungen wurde bereits in einem anderen Artikel kurz erklärt, sowie die Funktion von EDR.  Aber wie kann man vorgehen, um die optimale EDR-Lösung zu finden? Wir wollen uns diesem Thema über konkrete Fragen und Fragestellungen nähern. Die Fragen sollen helfen, die zur Auswahl stehenden Produkte an der richtigen Stelle zu hinterfragen und so zu einer Entscheidungsmatrix zu gelangen.

Die Fragen kann sich jeder den eigenen Anforderungen entsprechend beantworten, ggf. auch um weitere Frage ergänzen. Dieser Blogbeitrag soll diese Fragen aufführen und nach und nach beantworten. Sollten Sie Fragen vermissen, so hinterlassen Sie uns einfach einen Kommentar, wir sind gerne bereit, auch diese Fragen in unseren Katalog aufzunehmen und zu beantworten.

Unterscheidung von wichtigen Fragen zu begleitenden Fragen

Naturgemäß gibt es Fragen, deren positive Beantwortung für die richtige Wahl unerlässlich sind. Diese Fragen kann man auch als K.O.-Kriterien bezeichnen. Sollte die Beantwortung negativ ausfallen für den gedachten Einsatzzweck, so kann das Tool nicht mehr sinnvoll eingesetzt werden. Diese K.O.-Fragen sollten zuerst beantwortet werden. Neben diesen wesentlichen Fragen ergeben sich weitere flankierende Fragen, die weitere Details beantworten können, der negative Auslegung allerdings nicht zwangsläufig zu einem K.O. für das betrachtete Tool führt.

Je nach Einsatzzweck und Gegebenheiten kann sich die Zuordnung einzelner Fragen natürlich individuell verschieben. Im folgenden haben wir die wesentlichen Fragen, deren negative Beantwortung ein K.O. für das untersuchte Tool darstellen würde, entsprechend gekennzeichnet.

Fragen zu Funktionen und Features eines EDR Tools

K.O.-Fragen

• Muss die Bedrohung und Ihre Eigenschaften vorher bekannt sein, damit ein Schutz gewährleistet ist? -> Antwort
• Arbeitet der Client auch ohne Verbindung zum zentralen System verlässlich im offline-Modus? -> Antwort
• Bietet das Produkt die Funktion, Bedrohungen ohne manuellen Eingriff automatisch zu blocken und zu beheben? -> Antwort
• Blockiert das Produkt bei einer bestehenden Bedrohung die Maschine bzw. die Netzwerkkommunikation vollständig? -> Antwort

Allgemeine Fragen

• Welche Funktionen und welchen Schutz bietet das Produkt im Pre-Infection-Bereich (NGAV)?
• Welche Funktionen und welchen Schutz bietet das Produkt im Post-Infection-Bereich?
• Arbeitet das Produkt und seine Schutzmechanismen in Echtzeit?
• Wird auch ein Schutz für Betriebssysteme geboten, die nicht mehr vom Hersteller des Betriebssystems unterstützt werden?
• Welche Betriebssysteme (Windows, MacOS, Linux) werden unterstützt?
• Kann zwischen Whitelisting- und Blacklistingansatz gewählt werden?

Fragen zu Technologie und Infrastruktur eines EDR Tools

K.O.-Fragen

• Sind die wesentlichen Aktionen wie Dateiaktionen und Netzwerkkommunikation geschützt und werden verhindert? -> Antwort
• Wie verhält sich das Produkt bei der Installation auf bereits bestehender Infrastruktur und ggf. bereits auf den Maschinen vorhandener Malware? -> Antwort
• Kann die Lösung auch auf älterer Hardware (älter als Dual Core CPU!) mit alten Betriebssystemen (z.B. WinXP) installiert und sinnvoll eingesetzt werden? -> Antwort

Allgemeine Fragen

• Auf welche Bereiche erstreckt sich der Schutz des Produktes und deckt es ggf. unnötige Bereiche/Anwendungen ab?
• Sind auch Virtual Desktop-Lösungen (VMWare, Citrix) geschützt?
• Wie hoch sind die Systemanforderungen (CPU, RAM, HD, Netzwerk)?
• Bildet das Produkt eine Einheit, dessen Funktionen „aus einem Guss“ einheitlich integriert sind oder besteht es aus Einzelkomponenten unterschiedlicher Quellen, die teilweise nicht miteinander verbunden sind?
• Wie viele Systemdienste werden installiert/genutzt und wie viele Systemressourcen benötigen diese?
• Benötigt das Produkt bei der Installation einen Reboot?
• Wie hoch ist der erstmalige Integrationsaufwand auf zentraler Seite?
• Wie aufwendig (Zeit, Ressourcen) in Abhängigkeit von der Komplexität des Agenten ist die erstmalige Verteilung derselben?

Fragen zu Betrieb und Service eines EDR Tools

K.O.-Fragen

• Welcher Aufwand (vor allem im Personalbereich) entsteht im betrieblichen Bereich, welche manuellen Eingriffe sind in welcher Anzahl nötig und wie hoch ist der Automatisierungsgrad vor allem im Event-Management? -> Antwort

Allgemeine Fragen

• Besteht die Möglichkeit der Installation im eigenen Rechenzentrum (on-premise) sowie in einer professionellen Cloud oder in einem Mischbetrieb?
• Arbeitet das Produkt ohne AV-Pattern und damit ohne den aufwändigen Prozess des Client-Updates?
• Wie sehen die Integrationsmöglichkeiten in bestehende Event-Management-Systeme aus? Bietet die Lösung eine einfach zu nutzenden API?
• Wie aufwendig ist die Untersuchung und Behebung von Bedrohungen im Admin-Backend?
• Wie hoch ist der Pflegeaufwand der Client-Infrastruktur im Betrieb?
• Können betriebliche Dienstleistungen mit dem eigentlichen Produkt extern kontrahiert werden (Alert Monitoring, Event Handling, Forensische Analyse, …)?
• Können die Ergebnisse/Ereignisse der Kunden des Herstellers der EDR-Lösung für die Community genutzt werden?