EDR-Funktionen

Die Endpoint Detection and Response (EDR)-Funktionalität bietet folgende Fähigkeiten:

Alarmmeldungen empfangen, wenn es zu einer Sicherheitsverletzung kommt
Ihre Vorfälle auf der Seite „Vorfälle“ verwalten
Eine leicht verständliche Visualisierung des Angriffsverlaufs
Empfehlungen und Behebungsmaßnahmen
Überprüfen Sie anhand von Bedrohungsfeeds, ob es öffentlich bekannte Angriffe auf Ihre Workloads gibt
Schneller Überblick im Dashboard
Erweitertes Monitoring
Sicherheitsereignisse für 180 Tage speichern

Alarmmeldungen empfangen, wenn es zu einer Sicherheitsverletzung kommt

Die EDR-Funktionalität liefert Alarmmeldungen, wenn es zu einem Vorfall kommt. Diese Alarmmeldungen werden im Hauptmenü der Cyber Protect-Konsole hervorgehoben. Sie können einen Alarm dann untersuchen, indem Sie auf die Schaltfläche Vorfall untersuchen klicken. Dadurch werden Sie zur Anzeige für die Untersuchung von Vorfällen weitergeleitet, die auch als Cyber Kill Chain bezeichnet wird.

Weitere Informationen finden Sie im Abschnitt „Vorfälle in der Vorfallliste überprüfen“.

Ihre Vorfälle auf der Seite „Vorfälle“ verwalten

Die EDR-Funktionalität ermöglicht es Ihnen, alle Ihre Vorfälle auf der Seite „Vorfälle“ zu verwalten. Der Zugriff auf diese Seite erfolgt über das Menü Schutz in der Cyber Protect-Konsole. Sie können die Informationen auf der Seite Vorfälle nach Ihren Anforderungen filtern, um schnell und einfach den aktuellen Status der Vorfälle (wie etwa deren Schweregrad, welche Workloads betroffen sind und wie der Positivitätslevel aussieht) zu verstehen. Sie können auch direkt zur Cyber Kill Chain gehen, um sich den Angriffsverlauf jeweils Knoten für Knoten anzusehen.

Weitere Informationen über die Seite „Vorfälle“ finden Sie im Abschnitt „Vorfälle in der Vorfallliste überprüfen“.

Eine leicht verständliche Visualisierung des Angriffsverlaufs

Die EDR-Funktionalität bietet Ihnen zu jedem Angriff eine visuelle Darstellung mit leicht verständlichen Informationen. Dadurch wird sichergestellt, dass auch Mitarbeiter ohne besondere Sicherheitsausbildung verstehen können, was die Ziele und der Schweregrad eines Angriffs waren. Sie brauchen tatsächlich keinen speziellen SOC-Service (Security Operation Center) oder ausgebildete Sicherheitsexperten, denn die EDR-Funktionalität zeigt Ihnen genau, wie ein Angriff abgelaufen ist. Damit lassen sich etwa folgende Fragen beantworten:

Wie der Angreifer eindringen konnte
Wie der Angreifer seine Spuren verwischt hat
Welcher Schaden wurde verursacht
Wie sich der Angriff ausgebreitet hat

Weitere Informationen finden Sie im Abschnitt „So können Sie Vorfälle in der Cyber Kill Chain untersuchen“.

Empfehlungen und Behebungsmaßnahmen

Die EDR-Funktionalität liefert Ihnen klare und leicht umsetzbare Empfehlungen, wie Sie Angriffe auf einen Workload bekämpfen können. Wenn Sie einen Angriff schnell bekämpfen wollen, klicken Sie auf die Schaltfläche Gesamten Vorfall beheben. Daraufhin werden Ihnen Schritte empfohlen, mit denen Sie den Vorfall abschwächen können. Wenn Sie diese empfohlenen Schritte befolgen, können Sie die von einem Angriff betroffenen Workloads schnell wieder betriebsbereit machen. Wenn Sie jedoch detailliertere Behebungsmaßnahmen ergreifen wollen, können Sie jeden einzelnen Knoten ansteuern und Schäden auf diesen mit einer entsprechenden Aktion beheben.

Sie können auch auf Copilot klicken, um den Chat mit Acronis AI zu starten, mit dem Sie mehrere Anfragen eingeben und vorgeschlagene Reaktionsmaßnahmen (Antwortaktionen) für den ausgewählten Vorfall erhalten können.

Weitere Informationen finden Sie im Abschnitt „Vorfälle beheben“.

Überprüfen Sie anhand von Bedrohungsfeeds, ob es öffentlich bekannte Angriffe auf Ihre Workloads gibt

Die EDR-Funktionalität umfasst die Möglichkeit, Ihre Workloads auf vorhandene, bekannte Angriffe aus den Bedrohungsfeeds untersuchen zu lassen. Diese Bedrohungsfeeds werden automatisch anhand von Bedrohungsdaten generiert, die von den Cyber Protection Operations Centern (CPOCs) geliefert werden. Mit der EDR-Funktionalität können Sie überprüfen, ob Ihr Workload von einer solchen Bedrohung betroffen ist (oder nicht), und dann die notwendigen Maßnahmen zur Beseitigung der Bedrohung ergreifen.

Weitere Informationen finden Sie im Abschnitt „Auf Kompromittierungsindikatoren (IoCs) für öffentlich bekannte Angriffe auf Ihre Workloads prüfen“.

Schneller Überblick im Dashboard

Die EDR-Funktionalität stellt Ihnen zahlreiche Statistiken im Dashboard der Cyber Protect-Konsole zur Verfügung. Ihnen werden folgende Informationen angezeigt:

Der aktuelle Bedrohungsstatus – wie etwa die Anzahl der Vorfälle, die untersucht werden sollten.
Die Entwicklung der Angriffe, aufgeschlüsselt nach Schweregrad, was auf mögliche Angriffskampagnen hinweisen kann.
Die Effizienzrate bei der Schließung von Vorfällen.
Die zielgerichtetsten Taktiken, um Ihre Kunden anzugreifen.
Der Netzwerkstatus des Workloads, der angibt, ob er isoliert oder verbunden ist.

Erweitertes Monitoring

Auf Windows- und Linux-Maschinen kann die EDR-Funktionalität fortlaufend Ereignisdaten erfassen, auch wenn keine besonderen Erkennungen vorliegen.

Das erweiterte Monitoring verbraucht zusätzliche CPU-Ressourcen auf der geschützten Workload. Wir empfehlen daher, die Performance nach Aktivierung der Funktion zu überprüfen. Je nach Anzahl der erfassten Ereignisse kann sich auch die für die Kommunikation mit dem Datacenter verwendete Bandbreite erhöhen.

Sicherheitsereignisse für 180 Tage speichern

Die EDR-Funktionalität erfasst Workload- und Applikationsereignisse, die mit Vorfällen in Zusammenhang stehen, und speichert diese für einen Zeitraum von 180 Tagen. Ereignisse, die älter als 180 Tage sind, werden gelöscht (das Löschen von Ereignissen richtet sich nur nach ihrem Alter und nicht nach dem Speicherplatz) . Bitte beachten Sie, dass auch bei deaktivierter EDR-Funktionalität alle bisher erfassten Ereignisse zu einem Vorfall erhalten bleiben und auf der Anzeige für die Vorfalluntersuchung verfügbar sind.