Quarantane (Endpoint)
Was ist Quarantane (Endpoint)?
Quarantane (Endpoint)Endpoint-Sicherheitsaktion, die eine verdaechtige Datei aus ihrem Ursprungsort in einen kontrollierten, entscharfen Speicher verschiebt, sodass sie nicht laufen, aber analysiert oder wiederhergestellt werden kann.
Die Quarantane ist die klassische Reaktion von AV, NGAV und EDR, wenn eine Datei als schaedlich eingestuft wird. Der Agent entfernt die Datei vom Datentraeger (oder verweigert Zugriff), verschluesselt sie mit einem nur ihm bekannten Schluessel und legt sie in einem geschuetzten Verzeichnis ab — z. B. ProgramData\Microsoft\Windows Defender\Quarantine unter Windows oder /Library/Application Support/CrowdStrike unter macOS — zusammen mit den Detection-Metadaten. Defender, ESET, CrowdStrike, SentinelOne und Sophos bieten zentrale Quarantane-Konsolen, in denen Administratoren pruefen, nach Triage freigeben oder Proben in das Cloud-Lab senden koennen. Sie unterscheidet sich von der Endpoint-Isolation: Quarantane entscharft eine Datei, Isolation trennt den ganzen Host. Beide werden oft mit SOAR-Playbooks orchestriert.
● Beispiele
- 01
Microsoft Defender stellt ein heruntergeladenes Word-Dokument mit Makros in Quarantane und legt eine verschluesselte Kopie fuer den Analysten ab.
- 02
ESET Inspect gibt nach Analystentriage ein falschlich als Bredolab markiertes PDF aus der Quarantane frei.
● Häufige Fragen
Was ist Quarantane (Endpoint)?
Endpoint-Sicherheitsaktion, die eine verdaechtige Datei aus ihrem Ursprungsort in einen kontrollierten, entscharfen Speicher verschiebt, sodass sie nicht laufen, aber analysiert oder wiederhergestellt werden kann. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Quarantane (Endpoint)?
Endpoint-Sicherheitsaktion, die eine verdaechtige Datei aus ihrem Ursprungsort in einen kontrollierten, entscharfen Speicher verschiebt, sodass sie nicht laufen, aber analysiert oder wiederhergestellt werden kann.
Wie funktioniert Quarantane (Endpoint)?
Die Quarantane ist die klassische Reaktion von AV, NGAV und EDR, wenn eine Datei als schaedlich eingestuft wird. Der Agent entfernt die Datei vom Datentraeger (oder verweigert Zugriff), verschluesselt sie mit einem nur ihm bekannten Schluessel und legt sie in einem geschuetzten Verzeichnis ab — z. B. ProgramData\Microsoft\Windows Defender\Quarantine unter Windows oder /Library/Application Support/CrowdStrike unter macOS — zusammen mit den Detection-Metadaten. Defender, ESET, CrowdStrike, SentinelOne und Sophos bieten zentrale Quarantane-Konsolen, in denen Administratoren pruefen, nach Triage freigeben oder Proben in das Cloud-Lab senden koennen. Sie unterscheidet sich von der Endpoint-Isolation: Quarantane entscharft eine Datei, Isolation trennt den ganzen Host. Beide werden oft mit SOAR-Playbooks orchestriert.
Wie schützt man sich gegen Quarantane (Endpoint)?
Schutzmaßnahmen gegen Quarantane (Endpoint) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Quarantane (Endpoint)?
Übliche alternative Bezeichnungen: Dateiquarantane, Malware-Quarantane, Endpoint-Quarantane.
● Verwandte Begriffe
- defense-ops№ 050
Antivirus (AV)
Endpoint-Software, die schaedliche Dateien mit Signaturdatenbanken, Datei-Scans und einfachen Heuristiken erkennt und entfernt — die historische Basis der Endpointsicherheit.
- defense-ops№ 725
Next-Generation Antivirus (NGAV)
Endpoint-Schutz, der Signaturen um ML-Modelle, Verhaltensanalyse und Exploit-Mitigation erganzt, um unbekannte und Fileless-Bedrohungen zu stoppen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 381
Endpoint-Isolierung
EDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.