Elements EDR funktioniert so, dass auf jedem Gerät, das Sie überwachen möchten, ein ressourcenschonender Sensor installiert wird. Der Sensor erfasst Daten zu Verhaltensereignissen – Dateizugriffe, Prozesserstellungen, Netzwerkverbindungen, Änderungen an der Registrierungsdatenbank – und übermittelt diese zur Analyse an das Backend.

Vor der Bereitstellung

Um eine bestmögliche Erfassungsreichweite zu erzielen, befolgen Sie bitte vor der Installation die folgenden Empfehlungen auf den Zielgeräten:

• Windows: Stellen Sie sicher, dass eine Windows-Überwachungsrichtlinie so konfiguriert ist, dass Sicherheitsprotokollereignisse generiert werden. Stellen Sie außerdem sicher, dass die Protokollierung von PowerShell-ScriptBlocks nicht deaktiviert ist – eine Deaktivierung schränkt die Erkennungsmöglichkeiten ein.
• Linux: Verwenden Sie für eine optimale Leistung den Kernel 5.10 oder eine neuere Version. Wenn Sie den Kernel 3.16 oder eine ältere Version verwenden, stellen Sie sicher, dass „ auditd “ installiert und korrekt konfiguriert ist.

Installieren Sie den Sensor

Elements EDR unterstützt Windows (Arbeitsstationen und Server), Mac und Linux. Wählen Sie die Methode, die am besten zu Ihrer Umgebung passt:

• Einladung per E-Mail – geeignet für eine geringe Anzahl von Geräten. Gehen Sie zu „Umgebung“ > „Geräte“, wählen Sie das Symbol mit den drei Punkten neben „Geräte“ aus, wählen Sie „Neues Gerät hinzufügen“ und folgen Sie den Anweisungen des Assistenten, um den Benutzern einen Download-Link zu senden.
• Laden Sie das Installationsprogramm herunter – geeignet für größere Bereitstellungen. Gehen Sie in der Seitenleiste auf „Downloads“, wählen Sie das Paket für Ihre Plattform aus (EXE oder MSI für Windows, MPKG für Mac, DEB/RPM/tar für Linux), wählen Sie einen Abonnementschlüssel aus und laden Sie das Programm herunter. Der Schlüssel ist im Installationsprogramm integriert.

Sobald der Sensor installiert ist, überprüfen Sie dessen Funktion, indem Sie eine Broad Context Detection auslösen. Da normale Benutzer den Befehl „ whoami “ nicht ausführen, wird dadurch zuverlässig eine Erkennung ausgelöst.

1. Melden Sie sich bei dem überwachten Endpunkt an, auf dem der Sensor installiert ist.
2. Öffnen Sie eine Eingabeaufforderung und führen Sie folgenden Befehl aus: whoami
3. Führen Sie den Befehl „ exit “ aus, um die Eingabeaufforderung zu schließen, und melden Sie sich anschließend vom Endpunkt ab.
4. Navigieren Sie im Elements Security Center zu „Ereignisse“ > „Broad Context Detection“. Die Erkennung sollte innerhalb weniger Minuten angezeigt werden.

Wenn ein echter Fund gemeldet wird

Jede Erkennung zeigt eine Risikobewertung, einen Konfidenzwert und einen Schweregrad an, um Ihnen bei der Priorisierung zu helfen. Wählen Sie eine Erkennung aus, um den Prozessbaum, die Protokollansicht und zugehörige Ereignisse anzuzeigen. Von dort aus können Sie Maßnahmen ergreifen – beispielsweise den Host vom Netzwerk isolieren – oder den Fall mithilfe von „Elevate to WithSecure“ an die Experten von WithSecure eskalieren.

Tipp: Informationen zu fortgeschrittenen Tests mit PowerShell finden Sie in Anhang A des Elements EDR-Benutzerhandbuchs.