Endpoint-Isolierung
Was ist Endpoint-Isolierung?
Endpoint-IsolierungEDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
Endpoint-Isolierung — auch Network Containment, Host Quarantine oder Host Isolation — ist eine Ein-Klick-Reaktion in modernen EDR-Plattformen wie CrowdStrike Real Time Response, der 'Isolate device'-Aktion in Microsoft Defender for Endpoint, SentinelOne Network Isolation, Carbon Black Cb Live Response und Cortex XDR. Der Kernel-Agent verwirft oder blockt jeglichen Netzwerkverkehr des Endpunkts ausser zur Management-Ebene. Damit werden C2-Beacons, Ransomware-Verschluesselung von Fileshares und Lateral Movement sofort gestoppt, und das SOC kann untersuchen, Artefakte sichern und beheben. Best Practice: Isolation mit SOAR-Playbooks (Tines, XSOAR, Splunk SOAR) verknuepfen, fuer Server eine Doppelfreigabe verlangen und das Aufheben regelmaessig ueben.
● Beispiele
- 01
CrowdStrike Real Time Response isoliert das Laptop einer Fuehrungskraft Sekunden nach Erkennung eines Cobalt-Strike-Beacons.
- 02
Microsoft Defender for Endpoint 'Isolate device' wird per SOAR-Playbook automatisch bei bestaetigtem Ransomware-Verhalten ausgeloest.
● Häufige Fragen
Was ist Endpoint-Isolierung?
EDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Endpoint-Isolierung?
EDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
Wie schützt man sich gegen Endpoint-Isolierung?
Schutzmaßnahmen gegen Endpoint-Isolierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Endpoint-Isolierung?
Übliche alternative Bezeichnungen: Netzwerk-Containment, Host-Isolierung, Host-Quarantane.