Inhaltsverzeichnis

Relevante Unterlagen

NDR vs. EDR: Die wichtigsten Unterschiede

Network Detection and Response (NDR) ist ein zunehmend integraler Bestandteil des Cybersicherheits-Toolkits: Es bietet detaillierte Einblicke in die internen Aktivitäten eines Netzwerks und deckt die zwischen Geräten fließenden Paketinhalte auf. Endpoint Detection and Response (EDR) hingegen konzentriert sich ausschließlich auf die Aufdeckung der einzelnen Prozesse, die in den einzelnen Endgeräten eines Unternehmens ablaufen.

Obwohl sie auf ähnlichen Mechanismen zur Bedrohungsanalyse und Profilerstellung basieren, unterscheiden sich ihre Einsatzmöglichkeiten und Anwendungsfälle erheblich. Dieser Artikel behandelt die Unterschiede und erläutert, wie EDR und NDR häufig parallel eingesetzt werden.

Was ist NDR?

NDR ist ein Tool, das die Interaktionen zwischen Geräten im internen Netzwerk einer Organisation überwacht. Es setzt Sensoren in den Netzwerken einer Organisation ein, überwacht, welche Geräte mit ihnen interagieren, und analysiert die Daten, die sie an Peers und externe Server senden.

Dies ähnelt einer Firewall: Eine Firewall analysiert zwar den ein- und ausgehenden Datenverkehr eines Netzwerks (den sogenannten Nord-Süd-Verkehr), bietet aber keinen Einblick in den Datenverkehr zwischen internen Geräten. NDRs ermöglichen die Überwachung des internen Netzwerkverkehrs (Ost-West-Verkehr): Sie bieten eine neue Tiefe der Netzwerktransparenz ohne großen Konfigurationsaufwand.

Die von NDR-Systemen erfassten Rohdaten bestehen aus Folgendem:

Rohe Netzwerkpakete: Wird direkt aus dem Netzwerkverkehr über SPAN-Ports, TAPs oder dedizierte Sensoren erfasst. Diese Pakete bieten vollständige Transaktionstransparenz, einschließlich Protokollheadern und Nutzlast-bezogenen Metadaten.
Flussaufzeichnungen: Metadatenformate wie NetFlow oder IPFIX, die Kommunikationsmuster zusammenfassen, einschließlich Quell- und Ziel-IP-Adressen, Portnummern, Protokolle und Byteanzahl.
Verkehrsmetadaten: Abgeleitet aus der Paketanalyse umfasst dies Sitzungsdauer, Kommunikationshäufigkeit, Verhaltensmuster von Geräten und Daten aus Protokollen der Anwendungsschicht.

Alle diese Daten werden dann in die Analyse-Engine des NDR-Tools aufgenommen und auf Anzeichen von bösartigem Datenverkehr untersucht. Um die Erfolgschancen einer Bedrohungserkennung zu maximieren, setzt NDR zwei Analysestrategien ein:

Signaturbasierte Netzwerkanalyse

Da jeder einzelne Netzwerkdatenpunkt in einem Zeitreihendiagramm zusammengefasst wird, können die Aktivitäten einzelner Geräte bekannten Bedrohungen gegenübergestellt werden. Die signaturbasierte Erkennung konsolidiert spezifische Angriffsverhalten auf Netzwerkebene in Indikatoren für Kompromittierung (IoCs), die in der NDR-Datenbank gespeichert werden.

Eine Signatur bezeichnet jedes identifizierbare Merkmal, das mit einem bekannten Cyberangriff in Verbindung steht – beispielsweise ein Code-Schnipsel einer bestimmten Malware-Variante oder die erkennbare Betreffzeile einer Phishing-E-Mail. Signaturbasierte Erkennungstools scannen die Netzwerkaktivität auf diese bekannten Muster und lösen bei Übereinstimmungen Warnungen aus.

Die Überwachung von IOCs ist grundsätzlich reaktiv. Wird ein IOC erkannt, deutet dies in der Regel darauf hin, dass bereits ein Angriff stattgefunden hat. Sollte die böswillige Aktivität jedoch noch andauern, kann die frühzeitige Erkennung eines IOC entscheidend dazu beitragen, den Angriff zu unterbrechen, ihn schneller einzudämmen und potenzielle Schäden für das Unternehmen zu reduzieren.

Verhaltensnetzwerkanalyse

Neben der signaturbasierten Erkennung bieten die meisten NDRs auch eine Verhaltensanalyse. Diese erfasst alle Datenpunkte, vergleicht sie aber nicht statisch mit einer externen Risikodatenbank, sondern nutzt sie zum Aufbau einer Verhaltensbasis.

Diese Basislinie stellt die normale Aktivität dar: Sie ordnet Geräte und Benutzer hinsichtlich ihrer Kommunikationshäufigkeit, ihres Datenvolumens und ihrer Protokollnutzung zu. Sobald diese erwarteten Verhaltensmuster definiert sind, können NDR-Lösungen Abweichungen, die auf eine potenzielle Bedrohung hinweisen könnten, effektiv identifizieren. Es kann zu Diskrepanzen zwischen erwartetem und tatsächlichem Protokollverhalten sowie zu ungewöhnlicher Anwendungsaktivität außerhalb der Geschäftszeiten kommen. NDR lässt sich auch in andere Sicherheitstools integrieren, um ein noch umfassenderes Bild der normalen Netzwerkaktivität eines Unternehmens zu erhalten.

Zusammengenommen ermöglicht die verhaltens- und signaturbasierte Bedrohungserkennung dem NDR nicht nur eine vollständige Ost-West-Sichtbarkeit, sondern auch eine vollständige Bedrohungserkennung auf Netzwerkebene.

Was ist EDR?

EDR bietet den gleichen Ansatz der umfassenden, granularen Datenerfassung für die Endpunkte eines Unternehmens. Durch die Installation lokaler Agenten auf jedem Endpunkt werden die individuellen Aktionen jedes Geräts registriert und erfasst. Zu den von EDR erfassten Daten gehören:

Prozessausführungsdaten: Details zu allen laufenden Prozessen, einschließlich Eltern-Kind-Beziehungen, Befehlszeilenargumenten und Ausführungszeitstempeln.
Dateisystemänderung: Dateierstellung, -änderung, -löschung und Integritätsprüfung (einschließlich Datei-Hashes und Downloadquellen).
Änderungen in der Registrierung: Änderungen an Windows-Registrierungsschlüsseln und Konfigurationseinstellungen, die für das Systemverhalten von entscheidender Bedeutung sind.
Benutzerkonten: Alle Benutzerkonten, die sich direkt und remote angemeldet haben
Systemkonfigurationen: Installierte Anwendungen, Dienststatus und Daten zur Einhaltung von Sicherheitsrichtlinien.

Wie NDR-Sensoren streamen EDR-Agenten kontinuierlich Rohdaten an eine zentrale Plattform, wo sie von Modellen des maschinellen Lernens auf Anomalien wie nicht autorisierte Prozessketten, verdächtige Netzwerkkommunikation oder Registrierungsänderungen im Zusammenhang mit bekannten Angriffstechniken analysiert werden.

EDR vs. NDR: Unterschiedliche Anwendungsfälle

Obwohl die beiden Tools ähnliche Analysemethoden verwenden, eignen sie sich aufgrund ihrer individuellen Schwerpunkte deutlich für unterschiedliche Anwendungsfälle.

IoT-Sicherheit

NDR-Sensoren basieren häufig auf SPAN-Ports. Diese erstellen Kopien aller Pakete, die ihr Netzwerk passieren. Diese Kopien werden dann an die Überwachungstools des NDR weitergeleitet. Durch das Kopieren der Paketinformationen, anstatt alle Originalpakete an die Analyse-Engine weiterzuleiten, werden Störungen im Host-Netzwerk vermieden.

Neben dem Schutz sensibler Netzwerke ermöglicht dieses Setup die Verfolgung und Sicherung der Netzwerkaktivitäten von IoT-Geräten (Internet of Things). IoTs sind oft zu kompakt und zahlreich, um Agenten darauf zu installieren, was sie zu einer bekannten Sicherheitsbedrohung macht. Schwache Passwörter, unzureichende Standardeinstellungen und ein erheblicher Mangel an Geräteverwaltungsoptionen machen die Sicherheit von IoT-Geräten enorm schwierig. Da NDR-Tools jedoch die gesamte Netzwerkkommunikation erfassen, lässt sich das Ost-West-Verhalten von IoT-Geräten überwachen. Da verdächtiger Datenverkehr zwischen IoT-Geräten und ihrem weiteren Netzwerk bekannten Bedrohungen zugeordnet werden kann, verkürzt sich die mittlere Reaktionszeit drastisch.

Schutz für Remote-Mitarbeiter

EDR bietet kontinuierliche Überwachung, Bedrohungserkennung und automatisierte Reaktionsfunktionen direkt am Endpunkt. Dies ist besonders wichtig, da Remote-Endpunkte nicht immer auf bestimmte Netzwerke und Peripheriegeräte beschränkt werden können. Ohne diesen Schutz besteht für hybride Mitarbeiter die Gefahr, zu Infektionsüberträgern zu werden, wenn sie Remote-Geräte wieder mit den Netzwerken des Unternehmens verbinden.

Wenn ein Sicherheitsvorfall auf einem Remote-Gerät erkannt wird, kann EDR außerdem das entsprechende Playbook entsprechend den Umgebungsfaktoren initiieren. Wird beispielsweise eine Reihe von IoCs gefunden, die auf Ransomware hinweisen, kann EDR die betroffenen Geräte isolieren, bevor sich die Ransomware ausbreitet.

Seitliche Bewegungserkennung

Wenn ein Angreifer Zugriff auf die Vermögenswerte eines Unternehmens erhält, ist es sehr wahrscheinlich, dass er als Nächstes das Netzwerk des Geräts auskundschaftet, die verbundenen Benutzer und Geräte untersucht und die Schwachstellen seines Opfers identifiziert. Diese Informationen bilden dann die Grundlage für die weitere Bereitstellung der Nutzlast.

NDR vs. EDR: Unterschiede auf einen Blick

Funktion/Fähigkeit	NDR	EDR
Schwerpunkte	Überwacht den Netzwerkverkehr und die Kommunikation.	Überwacht einzelne Endpunktgeräte (z. B. Laptops, Server).
Datenquellen	Netzwerkpakete, Flussaufzeichnungen (NetFlow/IPFIX), Metadaten.	Systemprotokolle, Dateiaktivität, Prozessverhalten, Registrierungsänderungen.
Sichtbarkeitsbereich	Breite, netzwerkweite Sichtbarkeit.	Tiefe Sichtbarkeit auf Geräteebene.
Methoden zur Erkennung von Bedrohungen	Anomalieerkennung, Verhaltensanalyse, Überprüfung des verschlüsselten Datenverkehrs.	Dateianalyse, Verhaltensüberwachung, signaturbasierte Erkennung.
Anwendungsfälle	Laterale Bewegung, Command-and-Control-Verkehr, Datenexfiltration.	Malware-Infektionen, Insider-Bedrohungen, Exploit-Versuche.
Reaktionsfähigkeiten	Benachrichtigungen und Integrationen mit SIEM/SOAR; begrenzte direkte Sanierungsmaßnahmen.	Automatisierte Bedrohungseindämmung (z. B. Prozessbeendigung, Geräteisolierung).
Bereitstellungsszenario	Unternehmensnetzwerke mit vielen verbundenen Geräten.	Remote-Mitarbeiter, BYOD-Umgebungen, Endpunkte mit hohem Risiko.
Bereitstellungsanforderungen	Normalerweise agentenlos; verwendet Netzwerksensoren wie Taps und SPAN-Ports.	Erfordert die Installation von Agenten auf jedem überwachten Endpunktgerät.

Integrieren Sie EDR mit NDR über Stellar Cyber

Da die beiden Tools so gut zusammenarbeiten, werden sie oft gemeinsam eingesetzt. Dies erhöht die Bedeutung der Integrationsfähigkeiten der einzelnen Tools, da die daraus gewonnenen Informationen die MTTR deutlich beschleunigen können. Stellar Cyber verkörpert diese gemeinsame Fähigkeit mit seinem ÖffneXDR Produkt – lässt sich in jeden EDR integrieren und führt neben Malware-Sandboxing eine Deep Packet Inspection (DPI) durch, um eine ständig aktive Zero-Day-Malware-Erkennung und -Prävention zu gewährleisten.

ÖffneXDR Stellar korreliert Netzwerkwarnungen mit den Warnmeldungen der unternehmenseigenen Sicherheitssysteme und ordnet sie übersichtlichen Vorfällen zu. Anstatt die Arbeitsabläufe der Analysten mit unzähligen Warnmeldungen zu überfluten, sortiert und filtert Stellar diese proaktiv und leitet daraus sofortige Handlungsanforderungen ab. Erfahren Sie mehr über OpenXDR kann Ihrem Sicherheitsteam die Fähigkeit zur proaktiven Reaktion zurückgeben mit einer Demo heute.

Relevante Unterlagen

Sicherheitsfunktionen

Verticals

Vergleichen mit Stellar Cyber

Anwendungsfälle

Was uns unterscheidet

Thought Leadership

Programme & Ressourcen

Loslegen

Empfohlene Ressourcen

SOC Automatisierungsleitfäden

SecOps-Leitfäden

KI-gesteuert SIEM Anleitungen

Wähle eine Sprache

NDR vs. EDR: Die wichtigsten Unterschiede

Was ist NDR?

Signaturbasierte Netzwerkanalyse

Verhaltensnetzwerkanalyse

Was ist EDR?

EDR vs. NDR: Unterschiedliche Anwendungsfälle

IoT-Sicherheit

Schutz für Remote-Mitarbeiter

Seitliche Bewegungserkennung

NDR vs. EDR: Unterschiede auf einen Blick

Integrieren Sie EDR mit NDR über Stellar Cyber

Klingt zu gut, um wahr sein? Sehen Sie selbst!

Produkte

Mehrschichtige KI™

Vergleichen

Partner:innen

Ressourcen

Unternehmen

Für Unternehmen

Für MSSP

Fähigkeiten und Technologie

Netzwerk

Cookies auf Stellar

Klingt zu gut, um
wahr sein?
Sehen Sie selbst!