{"id":272175,"date":"2022-08-26T00:06:00","date_gmt":"2022-08-25T22:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272175"},"modified":"2024-03-03T18:22:45","modified_gmt":"2024-03-03T17:22:45","slug":"gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/26\/gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte\/","title":{"rendered":"IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte"},"content":{"rendered":"

\"SicherheitWerbung<\/em> – Wenn es um das Thema IT-Sicherheit geht, bleibt die Erkenntnis, ein einzelnes Produkt kann nicht alle Bedrohungen erkennen, alle Exploits verhindern oder alle Angriffe abwehren kann. Mein ehemaliger MVP-Kollege Helge Klein hat mit seiner Firma vast limits GmbH das Produkt uberAgent Endpoint Security Analytics (ESA)<\/em> entwickelt. Es handelt sich um eine L\u00f6sung, die der IT-Abteilung die ben\u00f6tigten Informationen zum Monitoring sowie zu potentiellen Sicherheitsvorf\u00e4llen liefert. Das im Artikel vorgestellte Produkt uberAgent ESA<\/em> l\u00e4uft auf macOS sowie auf Windows-Systemen und besitzt eine Splunk-Integration.<\/p>\n

<\/p>\n

Wo es bei EDR-L\u00f6sungen h\u00e4ufig hakt<\/h2>\n

Endpoint Detection and Response-Systeme (EDR<\/a>) wird in der IT eingesetzt, um einen Endpunkt (Macs oder Windows-Systeme) kontinuierlich auf Cyber-Bedrohungen zu \u00fcberwachen. Das Problem: Die EDR-Systeme k\u00f6nnen nicht alle Sicherheitsbedrohungen erkennen – manche Produkte weisen sogar alarmierende L\u00fccken auf.<\/p>\n

In einer Studie<\/a> haben George Karantzas und Constantinos Patsakis sogar gravierende \"blinde Flecken\" in der \u00dcberwachung der IT durch EDR-Systeme aufgedeckt. So k\u00f6nnen diese Systeme DLL-Sideloading-Angriffe nicht erkennen, geschweige denn blockieren. Eine \u00e4hnliche Aussage wird in diesem aktuellen heise-Artikel<\/a> getroffen.<\/p>\n

Oft fokussieren die Systeme auf die Erkennung von Angriffen \u00fcber ausf\u00fchrbare Dateien und Skripte, ignorieren aber Dokumente oder komprimierte Dateien. Oft ist auch nicht klar oder nicht dokumentiert, welche Sicherheitsbedrohungen die EDR-L\u00f6sungen erkennen und abwehren k\u00f6nnen. Das mag auch mit \"Schutz der Technologie\" zu tun haben – f\u00fcr den Kunden ist das aber nicht optimal, da er mit einer Black-Box hantiert und hoffen muss, dass es gut geht.<\/p>\n

Und es gibt f\u00fcr IT-Verantwortliche noch eine weitere Problemstelle: EDR-Produkte fokussieren sich auf die Erkennung und Blockierung b\u00f6sartiger Ereignisse. Aber die betreffenden Produkte liefern der IT keinen Einblick in das normale Anwendungs- (oder Benutzer-) Verhalten. Das reicht vom Startverhalten eines Systems bis hin zur Anmeldedauer von Nutzern oder warum Anwendungen oder das Netzwerk h\u00e4ngen bzw. nicht die erwartete Leistung bringen. Diese Informationsl\u00fccke erschwert die Erkennung von Ausrei\u00dfern und Anomalien, eine Aufgabe, die normalerweise von Analysten mit Hilfe eines SIEM durchgef\u00fchrt wird.<\/p>\n

Um die \"M\u00e4ngelliste\" voll zu machen, ist es in manchen F\u00e4llen auch kompliziert bis unm\u00f6glich, EDR-Daten in ein SIEM-System (Security Information and Event Management) wie Splunk<\/a> zu bekommen. Manchmal gibt es eine betr\u00e4chtliche Zeitverz\u00f6gerung, bevor die Daten im SIEM auftauchen, wodurch sich Alarme und Benachrichtigungen verz\u00f6gern. Eine Einf\u00fchrung in die Analyse der Endpunktsicherheit mit uberAgent ESA l\u00e4sst sich \u00fcber ein YouTube-Video<\/a> abrufen.<\/p>\n

Ein SIEM-System wie Splunk aggregiert Event-Daten aus verschiedenen Datenquellen innerhalb der Netzwerkinfrastruktur. Das umfasst Server, Systeme, Ger\u00e4te und Anwendungen, vom Perimeter bis zum Endbenutzer. Letztendlich bietet eine SIEM-L\u00f6sung der IT eine zentrale Sicht mit zus\u00e4tzlichen Erkenntnissen, in der Kontextinformationen \u00fcber Benutzer, Assets und mehr bereitstehen. Diese L\u00f6sung konsolidiert und analysiert die Daten auf Abweichungen von den von Unternehmen definierten Verhaltensregeln, um potenzielle Bedrohungen zu erkennen.<\/p>\n

Splunk<\/a> ist eine Log-, Monitoring- und Reporting-Plattform der in San Francisco angesiedelten Splunc Inc., die Daten nahezu jeder Art und aus nahezu jeder Quelle f\u00fcr Benutzer zug\u00e4nglich und nutzbar macht. Die Plattform durchsucht Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkger\u00e4ten und indiziert sie in ein durchsuchbares Repository. Der Anbieter wurde von Gartner 2021<\/a> zu den Marktf\u00fchrern unter den SIEM-Anbietern gez\u00e4hlt.<\/p><\/blockquote>\n

uberAgent als Monitoring-Tool<\/h2>\n

An dieser Stelle kommt das von vast limits GmbH entwickelte Produkt uberAgent Endpoint Security Analytics (ESA) zum Tragen. Ziel von Helge Klein und seiner Mannschaft war es, der IT-Abteilung mit einem Monitoring-Tool die Informationen zu liefern, die sie ben\u00f6tigt, um die Benutzerfreundlichkeit und die Sicherheit zu verbessern. Zu den hochwertigen Funktionen (Metriken) von uberAgent geh\u00f6ren:<\/p>\n