Endpoint-Isolierung
Was ist Endpoint-Isolierung?
Endpoint-IsolierungEDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
Endpoint-Isolierung — auch Network Containment, Host Quarantine oder Host Isolation — ist eine Ein-Klick-Reaktion in modernen EDR-Plattformen wie CrowdStrike Real Time Response, der 'Isolate device'-Aktion in Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response und Cortex XDR. Der Kernel-Agent verwirft oder blockt jeglichen Netzwerkverkehr des Endpunkts ausser zur Management-Ebene. Damit werden C2-Beacons, Ransomware-Verschluesselung von Fileshares und Lateral Movement sofort gestoppt, und das SOC kann untersuchen, Artefakte sichern und beheben. Best Practice: Isolation mit SOAR-Playbooks (Tines, XSOAR, Splunk SOAR) verknuepfen, fuer Server eine Doppelfreigabe verlangen und das Aufheben regelmaessig ueben.
● Beispiele
- 01
CrowdStrike Real Time Response isoliert das Laptop einer Fuehrungskraft Sekunden nach Erkennung eines Cobalt-Strike-Beacons.
- 02
Microsoft Defender for Endpoint 'Isolate device' wird per SOAR-Playbook automatisch bei bestaetigtem Ransomware-Verhalten ausgeloest.
● Häufige Fragen
Was ist Endpoint-Isolierung?
EDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Endpoint-Isolierung?
EDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
Wie funktioniert Endpoint-Isolierung?
Endpoint-Isolierung — auch Network Containment, Host Quarantine oder Host Isolation — ist eine Ein-Klick-Reaktion in modernen EDR-Plattformen wie CrowdStrike Real Time Response, der 'Isolate device'-Aktion in Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response und Cortex XDR. Der Kernel-Agent verwirft oder blockt jeglichen Netzwerkverkehr des Endpunkts ausser zur Management-Ebene. Damit werden C2-Beacons, Ransomware-Verschluesselung von Fileshares und Lateral Movement sofort gestoppt, und das SOC kann untersuchen, Artefakte sichern und beheben. Best Practice: Isolation mit SOAR-Playbooks (Tines, XSOAR, Splunk SOAR) verknuepfen, fuer Server eine Doppelfreigabe verlangen und das Aufheben regelmaessig ueben.
Wie schützt man sich gegen Endpoint-Isolierung?
Schutzmaßnahmen gegen Endpoint-Isolierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Endpoint-Isolierung?
Übliche alternative Bezeichnungen: Netzwerk-Containment, Host-Isolierung, Host-Quarantane.
● Verwandte Begriffe
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 1254
XDR (Extended Detection and Response)
Sicherheitsplattform, die Telemetrie aus Endpoint, Netzwerk, Identity, E-Mail und Cloud vereint und korrelative Erkennung mit integrierten Response-Aktionen kombiniert.
- defense-ops№ 892
Quarantane (Endpoint)
Endpoint-Sicherheitsaktion, die eine verdaechtige Datei aus ihrem Ursprungsort in einen kontrollierten, entscharfen Speicher verschiebt, sodass sie nicht laufen, aber analysiert oder wiederhergestellt werden kann.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.