![LOGO_STOIK_WHITE.png]](https://help.stoik.io/hs-fs/hubfs/LOGO_STOIK_WHITE.png?height=40&name=LOGO_STOIK_WHITE.png){kind=logo}
Geschäftsflussmanagement: Ausschlussregeln mit einem EDR
Die Verwaltung von Anwendungsflüssen über Ausschlussregeln ist ein Ansatz, der spezifisch für herkömmliche Antivirensoftware ist, jedoch nicht für EDR-Software wie CrowdStrike oder SentinelOne gilt.
- Unterschied zwischen Antivirus und EDR
- Intelligente Prävention und reaktives Ausschlussmanagement
- Ausschlüsse sollten nicht im Voraus festgelegt werden.
1. Unterschied zwischen Antivirus und EDR
- Antivirus: Scannt proaktiv alle inaktiven Dateien im System (unabhängig davon, ob sie ausgeführt werden oder nicht).
- Dies erzeugt eine große Anzahl von Scans und erfordert zahlreiche Ausschlüsse, um Fehlalarme bei inaktiven Dateien zu vermeiden.
- EDR (CrowdStrike, SentinelOne): Konzentriert sich ausschließlich auf tatsächlich ausgeführte Dateien und dynamisches Systemverhalten (Prozesse, Anmeldungen, Benutzeraktionen usw.).
- Es wird kein umfassender Scan der gesamten Festplatte durchgeführt.
- Inaktive Dateien werden nicht gescannt (mit Ausnahme manueller Scans).
2. Intelligente Prävention und reaktives Ausschlussmanagement
CrowdStrike verfügt über eine Reihe von Präventionsmechanismen, um Fehlalarme ohne manuelle Eingriffe zu minimieren:
- Vorkonfigurierte Ausschlusslisten werden bei der Bereitstellung automatisch angewendet.
- Im Falle einer verdächtigen Erkennung einer Geschäftsanwendung wird das Programm:
- vorübergehend blockiert
- und anschließend von unserem SOC analysiert, bevor endgültige Maßnahmen ergriffen werden.
❗ Um mögliche unerwünschte Geschäftsunterbrechungen zu vermeiden, wird die vollständige Isolierung nur manuell nach einer Analyse durch unser SOC-Team oder durch Sie durchgeführt.
3. Ausschlüsse sollten nicht im Voraus getroffen werden
Der Versuch, Ausschlüsse bereits vor der Erkennung zu antizipieren, birgt ein großes Risiko:
- Dies läuft darauf hinaus, potenziell schädliches Verhalten im Voraus auszuschließen, nur weil es mit bekannter Unternehmenssoftware in Verbindung steht.
- Die Folge: Sie riskieren, die Erkennungsfunktionen des EDR zu neutralisieren, sodass bestimmte Angriffe unbemerkt bleiben.
👉 Bei Stoïk werden Ausschlüsse nur als Reaktion auf eine tatsächliche Erkennung basierend auf der Analyse des SOC verwaltet.
Erfahren Sie mehr über die EDR-Konfiguration mit dem Stoïk SOC
Fazit: In einem EDR gibt es deutlich weniger Ausschlüsse, und diese werden nur dann ausgeführt, wenn eine Blockierung erkannt wird.
Es ist weder notwendig noch wünschenswert, präventive Ausschlussregeln wie bei einem herkömmlichen Antivirenprogramm hinzuzufügen.
Konkretes Beispiel: Einer unserer Kunden (ein nationaler Einzelhändler) hatte über 3.000 Arbeitsplätze, und sein vorheriges Antivirenprogramm hatte mehrere tausend Ausschlüsse.
➡️ Mit CrowdStrike waren keine Ausschlüsse mehr notwendig.