Wo das Risiko entsteht
Ein EDR-Agent allein ist keine belastbare Detektionsstrategie. Entscheidend sind Abdeckung, Policy-Qualität, Alert-Triage, Rollenmodell und die Frage, ob relevante Techniken im eigenen Umfeld erkannt werden.
Besonders wichtig sind Tests gegen interne Angriffswege: Credential Access, Lateral Movement, verdächtige PowerShell-Nutzung und ungewöhnliche Admin-Aktivität.
Was ich im Projekt prüfen würde
- Abdeckung auf Servern und Clients prüfen
- Ausnahmen regelmäßig validieren
- Alerts mit Incident-Prozessen verbinden
- Detection Use Cases gegen AD-Risiken priorisieren
- Ergebnisse aus Pentests in Tuning übersetzen
Was dadurch besser wird
- Alerts passen besser zur eigenen Umgebung und werden nicht nur nach Herstellerlogik priorisiert.
- Pentest- und Incident-Erkenntnisse fließen in konkrete Use Cases zurück.
- Ausnahmen werden kontrollierbar, weil sie Zweck, Owner und Ablaufdatum bekommen.
Wo es weh tun kann
- Zu scharfes Tuning kann echte Angriffe verdecken, wenn Alerts nur leiser statt besser werden.
- Zu breite Block-Regeln stören Betrieb und führen zu Schattenprozessen.
- Ohne regelmäßige Tests bleibt unklar, ob Credential Access, Lateral Movement oder verdächtige Admin-Aktivität wirklich erkannt werden.
Checks vor dem Rollout
- Welche Server und Clients fehlen noch in der Abdeckung?
- Welche Alerts führen wirklich zu einer Entscheidung?
- Welche Ausnahmen sind älter als der Change, der sie verursacht hat?
- Welche AD-relevanten Angriffstechniken werden aktiv getestet?