Verteidigung und Betrieb
EDR (Endpoint Detection and Response)
Definition
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
Beispiele
- CrowdStrike Falcon alarmiert bei einem verdächtigen MSHTA-Kindprozess mit anschließenden Verbindungen zu einem bekannten C2.
- Microsoft Defender for Endpoint isoliert einen Host nach Erkennung von Credential-Dumping mit mimikatz.
Verwandte Begriffe
EPP (Endpoint Protection Platform)
Präventive Endpoint-Sicherheits-Suite, die Antivirus, Anti-Malware, Host-Firewall und Exploit-Schutz kombiniert, um Bedrohungen vor der Ausführung auf einem Gerät zu blockieren.
XDR (Extended Detection and Response)
Sicherheitsplattform, die Telemetrie aus Endpoint, Netzwerk, Identity, E-Mail und Cloud vereint und korrelative Erkennung mit integrierten Response-Aktionen kombiniert.
NDR (Network Detection and Response)
Netzwerksicherheits-Technologie, die Verkehr (inklusive entschlüsselter Pakete, Metadaten und Flow-Daten) per Verhaltensanalyse und ML untersucht, um Bedrohungen zu erkennen und Response zu orchestrieren.
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Threat Hunting
Threat Hunting — definition coming soon.