search

Uitsluitingsregels met een EDR

Het beheren van applicatiestromen via uitsluitingsregels is een benadering die specifiek is voor traditionele antivirusoplossingen, maar het niet van toepassing is op een EDR zoals CrowdStrike of SentinelOne.

  1. Verschil in werking tussen antivirus en EDR

  2. Intelligente preventie en reactief beheer van uitsluitingen

  3. Uitsluitingen moeten niet vooraf worden gedefinieerd

  4. Conclusie

hashtag
1. Verschil in werking tussen antivirus en EDR

  • Antivirus: scant proactief alle slaperige bestanden op het systeem (of ze nu zijn uitgevoerd of niet).

    • Dit genereert een groot aantal scans en vereist talrijke uitsluitingen om valse positieven op inactieve bestanden te voorkomen.

  • EDR (CrowdStrike, SentinelOne): richt zich alleen op bestanden die daadwerkelijk worden uitgevoerd en op dynamisch systeemgedrag (processen, verbindingen, gebruikersacties, enz.).

    • Er wordt geen continue volledige schijfscan uitgevoerd

    • Inactieve bestanden worden niet geanalyseerd (behalve tijdens handmatige scans)

circle-info

⇒ In de praktijk, aangezien een EDR verdachte gedragingen in plaats van handtekeningen analyseert (wat een antivirus doet), is het onnodig om een map van analyse uit te sluiten.

⚠️ Integendeel, dit zou een negatief effect hebben: als er verdacht gedrag in die map zou plaatsvinden, zou de EDR dit niet kunnen detecteren. Dat gezegd zijnde, blijft dit technisch mogelijk als de behoefte wordt gevalideerd door ons SOC-team.

hashtag
2. Intelligente preventie en reactief beheer van uitsluitingen

CrowdStrike integreert een reeks preventieve mechanismen om valse positieven te beperken zonder handmatige tussenkomst:

  • Vooraf geconfigureerde uitsluitingslijsten worden automatisch toegepast tijdens de uitrol

  • In het geval van een verdachte detectie waarbij een zakelijke applicatie betrokken is, wordt het programma:

    • Tijdelijk geblokkeerd

    • Vervolgens geanalyseerd door ons SOC voordat definitieve maatregelen worden genomen

❗ Om mogelijke ongewenste bedrijfsstoringen te voorkomen, wordt volledige isolatie uitgevoerd alleen handmatig, hetzij na analyse door ons SOC-team of door u.

hashtag
3. Uitsluitingen moeten niet vooraf worden gedefinieerd

Pogingen om uitsluitingen te anticiperen voordat enige detectie plaatsvindt vormen een groot risico:

  • Het komt neer op het preventief uitsluiten van mogelijk schadelijk gedrag simpelweg omdat het wordt geassocieerd met een bekende zakelijke applicatie

  • Resultaat: u loopt het risico de detectiemogelijkheden van de EDR te neutraliseren, waardoor bepaalde aanvallen onopgemerkt blijven.

👉 Bij Stoïkworden uitsluitingen behandeld alleen als reactie op een echte detectie, op basis van SOC-analyse.

hashtag
4. Conclusie

Uitsluitingen in een EDR zijn veel minder en worden toegepast alleen wanneer er daadwerkelijk een blokkerend evenement heeft plaatsgevonden. Het is noch noodzakelijk noch raadzaam om “preventieve” uitsluitingsregels toe te voegen zoals u dat bij een traditionele antivirus zou doen.

Concreet voorbeeld: Een van onze klanten (een nationale speler in de detailhandel) had meer dan 3.000 werkstations en enkele duizenden uitsluitingen in hun vorige antivirusoplossing. Na de overstap naar CrowdStrike: waren er geen uitsluitingen meer nodig.

VorigeEDR-installatie: MS DefenderVolgendeMoet ik het antivirusprogramma verwijderen voordat ik de EDR installeer?

Laatst bijgewerkt

Was dit nuttig?