🔍

Bitdefender EDR Praxis-Guide

📊 Fortgeschritten⏱ 20 min
BitdefenderEDRThreat Hunting

Praxisleitfaden für Security Analysten: Bitdefender EDR für Incident Investigation und Threat Hunting.

🎯 Was ist Bitdefender EDR?

Detect
Erkennung
Investigate
Analyse
Respond
Reaktion

1. EDR Telemetrie

📊 Erfasste Ereignisse

  • • Prozess-Erstellung & -Beendigung
  • • Datei-Operationen
  • • Registry-Änderungen
  • • Netzwerk-Verbindungen
  • • PowerShell-Ausführungen
  • • DLL-Ladungen

⏱️ Aufbewahrung

  • Standard: 30 Tage
  • Extended: Bis zu 90 Tage
  • Incidents: Unbegrenzt

2. Incidents untersuchen

1

Triage

Severity bewerten, False Positive ausschließen

2

Analyse

Attack Chain analysieren, Root Cause finden

3

Response

Containment, Remediation, Recovery

3. Live Search Queries

🚨 Verdächtige PowerShell

process_name:powershell.exe AND (command_line:*-enc* OR command_line:*downloadstring*)

🔐 Credential Access

process_name:mimikatz* OR file_path:*\\lsass*

🌐 Suspicious Network

network_connection:outbound AND (destination_port:4444 OR destination_port:1337)

📝 Registry Persistence

registry_operation:set AND (registry_path:*\\Run\\* OR registry_path:*\\Services\\*)

4. Response Actions

🔒 Isolate Endpoint

Trennt vom Netzwerk, nur GZ-Kommunikation aktiv

🗑️ Kill Process

Beendet verdächtigen Prozess sofort

📥 Collect Evidence

Memory Dump, Event Logs sammeln

🔄 Remote Shell

Sichere Remote-Kommandozeile

5. Threat Hunting Hypothesen

Living off the Land

certutil, bitsadmin, mshta mit ungewöhnlichen Parametern

Scheduled Tasks

Persistence via geplante Aufgaben

Beaconing

Regelmäßige C2-Kommunikation

Data Staging

Erstellung von Archiven vor Exfiltration

🎯 Tavo-IT EDR Managed Service

24/7 EDR-Monitoring und Incident Response als Managed Service.

Managed EDR anfragen →

📚 Verwandte Artikel

GravityZone ÜbersichtEDR vs. MDR vs. XDRIncident Response Playbook