Endpoint Detection & Response, Daniel Litterst. Gehalten auf der Veranstaltung: Bechtle Competence Days 2019. Informationen zur Veranstalung: https://www.bechtle.com/news/bechtle-update/2019/trend/das-waren-die-bechtle-competence-days-2019

1. Endpoint Detection & Response,
wie Sie Ihr Unternehmen mit
Sophos vor modernen Cyber-
Gefahren schützen

2. Daniel Litterst

3. |
Endpoint Detection and Response (EDR)
Was ist EDR und wozu brauche ich es?
Endpoint
Flugdaten-
schreiber
Anomalie- und
Bedrohungs-
Erkennung
Untersuchungs-
Werkzeuge
Eindämmung
und Behebung
EDR dient der weitergehenden Analyse einer Bedrohung:
• Was ist hier wirklich passiert?
• Hat sich die Bedrohung ausgebreitet, in meinem oder anderen Unternehmen?
• Ist ein Angriff noch im Gange und kann ich ihn stoppen, bevor mehr Schaden angerichtet
wird?
• Gibt es noch „schlafende“ Malware in meinem Unternehmen?
• Kann ich dem Chef Entwarnung geben, dass keine Daten gestohlen wurden?
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 3

4. |
Probleme bei herkömmlichen EDR-Systemen
REAKTION
Durch aufwändige Untersuchungen dauert es
oft lange, bis reagiert werden kann. Der
Schaden ist dann oft viel größer geworden.
SICHTBARKEIT
& ERKENNUNG
Bei unvollständigen Daten und
Erkennungstechniken können Bedrohungen
nicht erkannt werden
ANALYSE
& UNTERSUCHUNG
Das Untersuchungsteam hat entweder zu
wenige Daten oder wird damit geflutet.
Sicherheitsexperten werden benötigt
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 4

5. |
Vorteile von Intercept X Advanced with EDR
REAKTION
Bedrohungen können sowohl automatisch per
Synchronized Security als auch manuell
eingedämmt werden
SICHTBARKEIT
& ERKENNUNG
Umfangreichste Schutz- und
Erkennungstechnologien auf allen Systemen
ANALYSE
& UNTERSUCHUNG
Ohne Expertenwissen können Angriffe schnell
und einfach untersucht werden. Know-How der
SophosLabs ist im direkten Zugriff
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 5

6. |
Aktivitäten der Prozesse werden grafisch dargestellt
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 6

7. |
Detaillierte Aufschlüsselung der Analyse
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 7

8. |
Reputation
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 8

9. |
Vorgehen Erkennung einer
Bedrohung
Erzeuge
Bedrohungsfall
Isoliere System
Untersuche
Ereigniskette
Unternehmensweite
Suche
Isoliere Systeme
Blockieren / Bereinigen
Entferne aus Isolation
Unerkannte „Low Reputation“
Prozesse?
Anfrage an SophosLabs
SQLite Snapshot
Untersuchung
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 9

10. |
Vom Admin gesteuerte Isolation
Admin isoliert
möglicherweise
unsicheren Client
Admin
Voraussetzungen
 Beliebige Firewall
 Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 10

11. |
Self Isolation
Infizierter Client
isoliert sich selbst
Voraussetzungen
 Beliebige Firewall
 Central Endpoint Protection
 Intercept X
 Intercept X Advanced
 Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 11

12. |
Automatische Netzwerkquarantäne mit XG Firewall
Security Heartbeat™
XG Firewall nimmt infizierten
Client in Netzwerkquarantäne
Voraussetzungen
 XG Firewall
 Central Endpoint Protection
 Intercept X
 Intercept X Advanced
 Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 12

13. |
Lateral Movement Protection
XG Firewall verteilt Infos
über infizierten Client
Keine Kommunikation
mit infiziertem Client
Security
Heartbeat™
Voraussetzungen
 XG Firewall
 Central Endpoint Protection
 Intercept X
 Intercept X Advanced
 Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 13

14. |
Eindämmung von Bedrohungen - Übersicht
CENTRAL ENDPOINT
PROTECTION
Advanced Advanced with EDR
AV Signaturen / HIPS / Live Protection   
Device / Web / App Control   
Data Loss Protection (DLP)   
Malicious Traffic Detection (MTD)    
Security Heartbeat    
Deep Learning   
CryptoGuard   
WipeGuard   
Anti-Hacker-Technologien (CredGuard etc.)   
Exploit Protection   
Ursachenanalyse   
Automatische / manuelle Client-Isolation /- /- /- /
Malware-Analyse durch SophosLabs 
Unternehmensweite Bedrohungssuche 
Mitbewerber-
Endpoint
Protection
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 14

15. Zeit für Fragen.
Über eine Bewertung dieses Vortrags
in der App würden wir uns freuen.
Besuchen Sie uns an Stand Sec 5.
Weitere Informationen finden Sie hier:
https://www.bechtle.com/it-loesungen/security