circle-info
Diese Seite wurde automatisch übersetzt und kann nicht bearbeitet werden.
search

Ausschlussregeln mit einem EDR

Die Verwaltung von Anwendungsabläufen durch Ausschlussregeln ist ein Ansatz, der für traditionelle Antivirenlösungen typisch ist, aber trifft nicht zu auf ein EDR wie CrowdStrike oder SentinelOne.

  1. Unterschied in der Funktionsweise zwischen Antivirus und EDR

  2. Intelligente Prävention und reaktives Ausschlussmanagement

  3. Ausschlüsse sollten nicht im Voraus definiert werden

  4. Fazit

hashtag
1. Unterschied in der Funktionsweise zwischen Antivirus und EDR

  • Antivirus: scannt proaktiv alle ruhenden Dateien im System (ob ausgeführt oder nicht).

    • Dies erzeugt ein großes Scanvolumen und erfordert zahlreiche Ausschlüsse, um Fehlalarme bei inaktiven Dateien zu vermeiden.

  • EDR (CrowdStrike, SentinelOne): konzentriert sich nur auf tatsächlich ausgeführte Dateien und auf dynamische Systemverhalten (Prozesse, Verbindungen, Benutzeraktionen usw.).

    • Es wird kein kontinuierliches Vollplatten-Scanning durchgeführt

    • Inaktive Dateien werden nicht analysiert (außer bei manuellen Scans)

circle-info

⇒ In der Praxis, da ein EDR verdächtige Verhaltensweisen statt Signaturen analysiert (was ein Antivirus tut), ist es unnötig, einen Ordner von der Analyse auszuschließen.

⚠️ Im Gegenteil, dies hätte einen negativen Effekt: wenn in diesem Ordner verdächtiges Verhalten auftreten würde, könnte das EDR es nicht erkennen. Das bleibt zwar technisch möglich, wenn der Bedarf von unserem SOC-Team validiert wird.

hashtag
2. Intelligente Prävention und reaktives Ausschlussmanagement

CrowdStrike integriert eine Reihe von präventiven Mechanismen, um Fehlalarme ohne manuelle Eingriffe zu begrenzen:

  • Vorkonfigurierte Ausschlusslisten werden bei der Bereitstellung automatisch angewendet

  • Im Falle einer verdächtigen Erkennung, die eine Geschäftssoftware betrifft, wird das Programm:

    • Vorübergehend blockiert

    • Anschließend von unserem SOC analysiert, bevor eine endgültige Maßnahme ergriffen wird

❗ Um mögliche unerwünschte Betriebsunterbrechungen zu vermeiden, erfolgt die vollständige Isolierung nur manuell, entweder nach Analyse durch unser SOC-Team oder durch Sie.

hashtag
3. Ausschlüsse sollten nicht im Voraus definiert werden

Zu versuchen, Ausschlüsse im Voraus zu antizipieren, bevor eine Erkennung stattgefunden hat, stellt ein erhebliches Risiko dar:

  • Es kommt darauf hinaus, potenziell bösartige Verhaltensweisen vorsorglich auszuschließen, nur weil sie mit einer bekannten Geschäftssoftware in Verbindung stehen

  • Ergebnis: Sie laufen Gefahr, die Erkennungsfähigkeiten des EDR zu neutralisieren und bestimmten Angriffen zu erlauben, unentdeckt zu bleiben.

👉 Bei Stoïkwerden Ausschlüsse nur als Reaktion auf eine echte Erkennung gehandhabt, basierend auf der Analyse des SOC.

hashtag
4. Fazit

Ausschlüsse in einem EDR sind wesentlich seltener und werden nur dann angewendet, wenn tatsächlich ein Blockereignis eingetreten ist. Es ist weder notwendig noch ratsam, „präventive“ Ausschlussregeln hinzuzufügen, wie man es bei einem traditionellen Antivirus tun würde.

Konkretes Beispiel: Einer unserer Kunden (ein nationaler Einzelhandelsakteur) hatte mehr als 3.000 Arbeitsstationen und mehrere tausend Ausschlüsse in seiner vorherigen Antivirenlösung. Nach dem Wechsel zu CrowdStrike waren keine Ausschlüsse erforderlich.

VorherigeEDR-Einrichtung: MS DefenderNächsteMuss ich das Antivirus vor der EDR-Einrichtung deinstallieren?

Zuletzt aktualisiert

War das hilfreich?