HarfangLab EDR
Endpoint Detection and Response

Vereinfachen Sie die Arbeit von Cybersecurity-Experten, erkennen Sie Bedrohungen frühzeitig und reagieren Sie schnell – für alle Betriebssysteme und sensible Umgebungen, sowohl in der Cloud als auch On-Premises.

Entdecken Sie unsere Pakete

edr-hero-facilitez-le-travail-des-analystes

Erkennen und blockieren Sie Bedrohungen

Optimieren Sie die Analysearbeit

Schützen Sie Ihre Infrastruktur und behalten Sie die Kontrolle über Ihre Daten

Die HarfangLab EDR-Erkennungsengines sind direkt in die Agenten eingebettet, die auf den Endpunkten (Desktops und Server) eingesetzt werden, um einen Schutz direkt an der Bedrohungsquelle zu gewährleisten.

HarfangLab EDR ist einfach zu installieren und skalierbar und wurde so konzipiert, dass die Leistung der Endpunkte erhalten bleibt und der Schutz auch dann gewährleistet ist, wenn die Verbindung zum Netzwerk unterbrochen wird.

On-Premises und Cloud-Isoperimeter-Bereitstellung

KI zur Erkennung unbekannter Bedrohungen und zur Verbesserung der Fähigkeiten von Analysten

Zahlreiche Konnektoren für einen perfekt angepassten Cyber-Stack

API-Steuerung zur Kontrolle der Arbeitsumgebung möglich

Feineinstellung von Warnungen, Korrelations-Engine und Whitelists um falsch positive Ergebnisse zu begrenzen

Zugriff auf 100 % der Daten zur Auswertung, Aggregation, Korrelation und mehr

Optimaler Schutz bei voller Kontrolle über Ihre Cyber-Strategie

Eine Whitebox für einfaches Management

Die Erkennungs-Engines von HarfangLab basieren auf offenen und standardisierten Formaten, darunter YARA und Sigma, die von Cybersicherheitsexperten weltweit genutzt werden.

Einfache Handhabung und Weitergabe von Informationen
Nahtlose Integration in das bestehende Arbeitsumfeld
Transparente Erkennungsregeln, die zu 100 % zugänglich und modifizierbar sind

yara-transparent-customizable-rules-harfanglab

Kontinuierliche Optimierung der Cyber Threat Intelligence

Das CTI-Team von HarfangLab ist stets wachsam gegenüber neuen Bedrohungen und aktualisiert regelmäßig die Erkennungsregeln, die die Benutzer an ihre individuellen Cybersicherheitsanforderungen anpassen können.

Qualifizierung und Überwachung des Lebenszyklus der Regeln
Aktualisierung über MISP
Direkter Zugriff auf alle in der Konsole integrierten Erkennungsregeln

Künstliche Intelligenz zur Stärkung des Schutzes

KI zur Verbesserung des Schutzes und zur Erleichterung von Ermittlungen Ashley und Kio, die EDR-KI-Engines von HarfangLab, reagieren auf reale Anwendungsfälle.

Ashley erkennt unbekannte Bedrohungen und bösartige Skripte so früh wie möglich im Ausführungsprozess.
Die Engine wird regelmäßig trainiert, um sich an die Bedrohungslandschaft anzupassen, und kontinuierlich verbessert, um die Anzahl der Fehlalarme und die Auswirkungen auf die Endpunktleistung zu reduzieren.
Es handelt sich um eine Schutzschicht, die die anderen Engines ergänzt und die Erkennungsregeln erweitert.
Kio (Know It Owl) ist der persönliche Assistent der Analysten, der auf Konsolenanfragen in natürlicher Sprache antwortet, um nach Dokumentation zu suchen oder Sicherheitsereignisse zu untersuchen.

ashley-to-enhance-detection-capabilities-harfanglab

Konnektoren und APIs zum Aufbau des besten Cyber-Schutzschildes

Das HarfangLab EDR kann zu 100 % per API gesteuert werden und ist auf Interoperabilität ausgelegt.

Cyber-Experten behalten die volle Kontrolle über ihre Roadmap, die Umgebung der Sicherheitslösungen und können Daten aus verschiedenen Quellen leicht miteinander verknüpfen.

Vereinfachte und tiefergehende Analysen

Das HarfangLab EDR-System bietet eine Vielzahl von Funktionen, um die gesammelten Daten zur Unterstützung der Analyse- und Behebungsmaßnahmen zu nutzen.
Analysten können so genau verstehen, was im Informationssystem vor sich geht. Sie können den Ursprung eines Ereignisses identifizieren und entsprechend eingreifen: Zweifel ausräumen, Untersuchungen durchführen, Bedrohungen blockieren, den Schutz verschärfen und mehr.

Überblick über alle Informationen zu Sicherheitsereignissen (Art der Erkennung, damit verbundene Ereignisse, übergeordnete und untergeordnete Prozesse …) zur Erstellung von Korrelationen
Optionen zum Blockieren oder Unterbrechen von Prozessen, Isolieren von Endpunkten, Löschen von Dateien oder Diensten
Investigative Dienste zur Datenanreicherung, um die Ursache eines Vorfalls zu verstehen und den Schutz zu verstärken
Remote Shell zur Verbindung mit Endpunkten über die Konsole, um forensische Analysen und Behebungsmaßnahmen mittels vordefinierter Befehle oder Skripte durchzuführen
Dynamische Filterung zur Nutzung von Daten direkt auf der Plattform
Aggregation von Alarm- und Telemetriedaten zur einfachen Untersuchung

in-depth-investigations-simple-harfanglab

Reduzierung der Alarmmüdigkeit durch die Korrelations-Engine

Korrelieren Sie Daten, um eine Abfolge von Ereignissen zu identifizieren oder wiederkehrende Ereignisse über einen bestimmten Zeitraum zu erkennen.

Die Korrelations-Engine generiert einen einzigen Alarm, der mehrere miteinander verbundene Ereignisse zusammenfasst.

Sobald der Alarm von der Korrelations-Engine generiert wurde, können Sie auf die Korrelationslogik, Details zum Ereignis-Workflow und Erkennungsregeln zugreifen.

Was ist ein EDR?

Ein EDR (Endpoint Detection and Response) ist eine Sicherheitslösung, die Endgeräte (Desktops und Server) durch einen darauf installierten Agenten schützt, um Bedrohungen zu erkennen und zu beheben. Es kann nicht nur das Vorhandensein von bösartigen Dateien oder Verhalten sowie Anzeichen für Kompromittierungen erkennen, sondern auch Warnungen ausgeben oder Bedrohungen blockieren. Hierzu werden Informationen bereitgestellt, anhand derer das erkannte Sicherheitsereignis untersucht werden kann.

Was ist der Unterschied zwischen einem EDR und einer EPP?

Eine Endpoint Protection Platform (EPP) ist eine Lösung zum Schutz vor Bedrohungen, die unter anderem Antivirus, Firewall, USB-Port-Schutz umfassen kann. Sie kann Bedrohungen automatisch blockieren, z.B. wenn sie eine schädliche Datei, eine nicht autorisierte Netzwerkverbindung oder den Anschluss eines USB-Geräts erkennt. Die EPP kann auch zur Warnung bei verdächtigen Aktivitäten eingesetzt werden.

Ein EDR hingegen konzentriert sich auf die Erkennung und Reaktion auf Bedrohungen während der Ausführung eines Programms oder durch die Analyse von Verhaltensmustern in einer IT-Landschaft. Es sammelt und qualifiziert mit Sicherheitsereignissen verbundene Daten und ergreift bei Bedrohungen die notwendigen Maßnahmen.

Kann ein EDR-System unbekannte Bedrohungen erkennen?

HarfangLab EDR nutzt verschiedene Engines basierend auf Verhaltensanalysen und KI. Sie ermöglichen selbst die Identifizierung und Bekämpfung von Bedrohungen, die nicht in Datenbanken für bekannte Bedrohungen enthalten sind.

Welche Betriebssysteme werden von HarfangLab unterstützt?

Alle Betriebssysteme werden unterstützt: Windows, Linux und macOS. Unsere ausführliche Dokumentation ist für weitere Informationen verfügbar.

Welche Optionen gibt es für den Einsatz von HarfangLab EDR?

HarfangLab kann sowohl in der Cloud als auch auf einer On-Premises-Infrastruktur mit jeweils denselben Funktionen eingesetzt werden.

Unabhängig von der Installationsart werden die Agenten direkt auf den Endpunkten eingesetzt und kommunizieren mit der Konsole, um Telemetriedaten auszutauschen und Richtlinien zur Erkennung und Blockierung von Bedrohungen abzurufen.

Updates erfordern keinen Neustart der Endpunkte und können bei der On-Premises-Installation remote oder vor Ort durchgeführt werden.