EDR - Erkennung und Reaktion auf Endpunkte (Endpoint Detection and Response)
Erkennung und Reaktion auf Endpunkte (EDR) ist eine integrierte Endpunkt-Sicherheitslösung, die kontinuierliche Überwachung und Echtzeit-Erfassung von Endpunktdaten mit regelbasierten automatischen Reaktions- und Analysefunktionen kombiniert. EDR-Tools bestehen aus drei Kernkomponenten: Agenten, die Endpunktdaten sammeln, Software-Agenten, die eine Endpunktüberwachung durchführen und Daten – wie Prozesse, Verbindungen, Aktivitätsumfang und Datenübertragungen – in einer zentralen Datenbank sammeln, und konfigurierte Regeln, die in einer EDR-Lösung erkennen können, wenn eingehende Daten auf eine bekannte Art von Sicherheitsverletzung hindeuten, und eine automatische Reaktion auslösen, z. B. das Abmelden eines Endnutzers oder das Senden einer Warnung an einen Mitarbeiter. Darüber hinaus umfassen die Lösungen in dieser Klasse Tools zur schnellen und sicheren Wiederherstellung von Systemen nach einem Angriff. Ein EDR-System kann sowohl Echtzeit-Analysetools zur schnellen Diagnose von Bedrohungen als auch forensische Tools zum Auffinden von Bedrohungen oder zur Analyse nach einem Angriff enthalten.