WISSEN — ANGRIFFSERKENNUNG

Endpoint Detection and Response (EDR)

EDR (Endpoint Detection and Response) überwacht einzelne Endgeräte — Laptops, Server, Workstations — auf verdächtige Aktivität wie Schadsoftware, ungewöhnliche Prozesse oder Manipulationen. Es arbeitet direkt auf dem Gerät über einen installierten Agenten und ergänzt damit die Netzwerk-Sicht von NDR.

Einfach erklärt

Wenn NDR der Beobachter im Flur ist, dann ist EDR der Wächter in jedem einzelnen Raum. EDR sieht, was auf dem Gerät selbst passiert: welche Programme starten, welche Dateien sich verändern, ob etwas versucht, sich festzusetzen. Diese Innensicht ergänzt die Außensicht aufs Netzwerk.

Wie es funktioniert

Auf jedem geschützten Gerät läuft ein Agent, der Prozesse, Dateizugriffe und Systemverhalten aufzeichnet. Auffälligkeiten werden gemeldet und können automatisiert eingedämmt werden — etwa, indem ein Gerät isoliert wird. EDR erkennt dadurch Bedrohungen, die nur am Endpunkt sichtbar werden und nicht zwingend Netzwerkverkehr erzeugen.

Wozu es dient und wo die Grenze liegt

EDR ist stark bei der Erkennung und Eindämmung auf dem Gerät selbst. Die Grenze: Es sieht nur Geräte, auf denen ein Agent installiert ist — nicht aber Geräte ohne Agent, IoT- oder OT-Komponenten oder den Verkehr zwischen Systemen. Diese Lücke schließt die netzwerkweite Sicht von NDR, weshalb beide sich gut ergänzen.

Endpoint Detection and Response (EDR)

Einfach erklärt

Wie es funktioniert

Wozu es dient und wo die Grenze liegt

Verwandte Begriffe