Fragen und Antworten zu „Endpoint Detection and Response (EDR)“

Die Definition, die Zusammenhänge und Funktion heutiger EDR-Lösungen wurde bereits in einem anderen Artikel kurz erklärt, sowie die Funktion von EDR.  Aber wie kann man vorgehen, um die optimale EDR-Lösung zu finden? Wir wollen uns diesem Thema über konkrete Fragen und Fragestellungen nähern. Die Fragen sollen helfen, die zur Auswahl stehenden Produkte an der richtigen Stelle zu hinterfragen und so zu einer Entscheidungsmatrix zu gelangen.

Die Fragen kann sich jeder den eigenen Anforderungen entsprechend beantworten, ggf. auch um weitere Frage ergänzen. Dieser Blogbeitrag soll diese Fragen aufführen und nach und nach beantworten. Sollten Sie Fragen vermissen, so hinterlassen Sie uns einfach einen Kommentar, wir sind gerne bereit, auch diese Fragen in unseren Katalog aufzunehmen und zu beantworten.

Unterscheidung von wichtigen Fragen zu begleitenden Fragen

Naturgemäß gibt es Fragen, deren positive Beantwortung für die richtige Wahl unerlässlich sind. Diese Fragen kann man auch als K.O.-Kriterien bezeichnen. Sollte die Beantwortung negativ ausfallen für den gedachten Einsatzzweck, so kann das Tool nicht mehr sinnvoll eingesetzt werden. Diese K.O.-Fragen sollten zuerst beantwortet werden. Neben diesen wesentlichen Fragen ergeben sich weitere flankierende Fragen, die weitere Details beantworten können, der negative Auslegung allerdings nicht zwangsläufig zu einem K.O. für das betrachtete Tool führt.

Je nach Einsatzzweck und Gegebenheiten kann sich die Zuordnung einzelner Fragen natürlich individuell verschieben. Im folgenden haben wir die wesentlichen Fragen, deren negative Beantwortung ein K.O. für das untersuchte Tool darstellen würde, entsprechend gekennzeichnet.

Fragen zu Funktionen und Features eines EDR Tools

K.O.-Fragen

Allgemeine Fragen

  • Welche Funktionen und welchen Schutz bietet das Produkt im Pre-Infection-Bereich (NGAV)?
  • Welche Funktionen und welchen Schutz bietet das Produkt im Post-Infection-Bereich?
  • Arbeitet das Produkt und seine Schutzmechanismen in Echtzeit?
  • Wird auch ein Schutz für Betriebssysteme geboten, die nicht mehr vom Hersteller des Betriebssystems unterstützt werden?
  • Welche Betriebssysteme (Windows, MacOS, Linux) werden unterstützt?
  • Kann zwischen Whitelisting- und Blacklistingansatz gewählt werden?

Fragen zu Technologie und Infrastruktur eines EDR Tools

K.O.-Fragen

Allgemeine Fragen

  • Auf welche Bereiche erstreckt sich der Schutz des Produktes und deckt es ggf. unnötige Bereiche/Anwendungen ab?
  • Sind auch Virtual Desktop-Lösungen (VMWare, Citrix) geschützt?
  • Wie hoch sind die Systemanforderungen (CPU, RAM, HD, Netzwerk)?
  • Bildet das Produkt eine Einheit, dessen Funktionen „aus einem Guss“ einheitlich integriert sind oder besteht es aus Einzelkomponenten unterschiedlicher Quellen, die teilweise nicht miteinander verbunden sind?
  • Wie viele Systemdienste werden installiert/genutzt und wie viele Systemressourcen benötigen diese?
  • Benötigt das Produkt bei der Installation einen Reboot?
  • Wie hoch ist der erstmalige Integrationsaufwand auf zentraler Seite?
  • Wie aufwendig (Zeit, Ressourcen) in Abhängigkeit von der Komplexität des Agenten ist die erstmalige Verteilung derselben?

Fragen zu Betrieb und Service eines EDR Tools

K.O.-Fragen

Allgemeine Fragen

  • Besteht die Möglichkeit der Installation im eigenen Rechenzentrum (on-premise) sowie in einer professionellen Cloud oder in einem Mischbetrieb?
  • Arbeitet das Produkt ohne AV-Pattern und damit ohne den aufwändigen Prozess des Client-Updates?
  • Wie sehen die Integrationsmöglichkeiten in bestehende Event-Management-Systeme aus? Bietet die Lösung eine einfach zu nutzenden API?
  • Wie aufwendig ist die Untersuchung und Behebung von Bedrohungen im Admin-Backend?
  • Wie hoch ist der Pflegeaufwand der Client-Infrastruktur im Betrieb?
  • Können betriebliche Dienstleistungen mit dem eigentlichen Produkt extern kontrahiert werden (Alert Monitoring, Event Handling, Forensische Analyse, …)?
  • Können die Ergebnisse/Ereignisse der Kunden des Herstellers der EDR-Lösung für die Community genutzt werden?
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.