Die meisten Unternehmens-Zugriffssysteme erfassen Informationen über das Gerät nur im Moment des Verbindungsaufbaus: IP, OS-Name, vielleicht TLS-Fingerabdruck, vielleicht MDM-Token. Danach werden diese Daten nicht mehr angerührt. Während einer stundenlangen Sitzung wird angenommen, dass sich der Status des Geräts nicht geändert hat — dass keine Patches angewendet wurden, der Endpoint Threat Protection (EDR)-Agent nicht abgeschaltet wurde, keine neue Software installiert, kein USB-Laufwerk angeschlossen wurde.
Diese Annahme ist mit dem modernen Angriffsmodell nicht vereinbar. Ein Gerät kann nach dem Login kompromittiert werden, Endpoint Threat Protection (EDR) kann gestoppt, Malware installiert, die Konfiguration geändert werden. Das klassische System sieht das nicht, weil es nie hinschaut.
Continuous Telemetry durchbricht dieses Modell. Vom Gerät wird periodisch — im Sekunden- oder Minutenbereich — Telemetrie erfasst; Statusänderungen werden protokolliert, bei Überschreiten eines Schwellwerts wird die Richtlinie ausgelöst.
Der TR7-ETM-Agent misst kontinuierlich den internen Zustand des Geräts und teilt ihn live mit dem Rest des TR7-Stacks.
Für Windows, macOS und Linux wird ein ETM-Agent mit gleicher Kapazität angeboten. Das Betriebsteam muss nicht für verschiedene Betriebssysteme unterschiedliche Toolchains verwalten; das gesamte Geräte-Inventar wird von einer Plattform aus überwacht.
Der Agent erfasst Telemetrie in konfigurierten Intervallen — je nach Branche und Risikoniveau im Sekunden- oder Minutenbereich. Daten werden zeitlich korreliert; eine Statusänderung wird als 'Ereignis' interpretiert, nicht als Momentaufnahme.
Software-Inventar, laufende Prozesse, offene Ports, Konfigurationsdateien, Zertifikatspeicher, lokale Benutzerkonten, Hardware-Inventar, Festplattenverschlüsselung, Netzwerkschnittstellen, Sicherheitsagent-Status, Registry-Schlüssel, Systemprotokollereignisse — Dutzende von Datenkategorien unter einem einzigen Agenten.
Wenn festgelegte Schwellwerte überschritten werden, eine kritische Konfiguration geändert wird oder ein unerwarteter Prozess startet, erzeugt ETM ein Ereignis. AAM kann dieses Ereignis an die Zugriffsentscheidung binden, an das SIEM senden oder eine Operator-Warnung ausgeben.
Continuous Telemetry ist nicht nur Datenerfassung; sie ist eine Live-Sichtbarkeitsschicht, die Daten an Zugriffs- und Betriebsentscheidungen bindet.
Die Liste der auf dem Gerät installierten Software, Versionsinformationen, Anbieter und Installationszeit werden kontinuierlich überwacht. Unautorisierte Softwareinstallation, Nutzung alter Versionen und Anwendungen außerhalb des genehmigten Software-Inventars werden durch ETM sichtbar gemacht. Lizenz-Compliance und Sicherheitsrichtlinien-Compliance speisen sich aus denselben Daten.
Konfigurationsschritte, die sich ändern, nachdem das Gerät mit der Sicherheitsrichtlinie konform geworden ist — lokale Firewall-Regeln, Berechtigungsdateien, Audit-Richtlinien, Registry/plist-Änderungen — werden kontinuierlich verfolgt. Eine Abweichung von der Baseline kann in eine Zugriffsentscheidung oder eine Operator-Warnung umgewandelt werden.
Festplatten-SMART-Daten, Speicherfehlerzahlen, CPU-Temperatur und Netzwerkschnittstellenfehler werden kontinuierlich gemessen. Hardwareprobleme werden dem Betriebsteam vor der Zugriffsentscheidung signalisiert; es wird ein Handlungsspielraum geöffnet, bevor durch einen Ausfall ein schlechtes Benutzererlebnis entsteht.
Der Status der auf dem Gerät laufenden Endpoint Threat Protection (EDR)-, Antivirus-, Host-Firewall- und DLP-Agenten wird kontinuierlich geprüft. Das Abschalten, Deaktivieren oder Hängenbleiben dieser Agenten erreicht ETM als sofortiges Ereignis. Für die AAM-Zugriffsentscheidung wird dieses Signal zu einer erstklassigen Eingabe.
Neben der Systemfestplatte wird auch der Verschlüsselungsstatus sekundärer Festplatten sichtbar gemacht. Der Status von plattformeigenen Festplattenverschlüsselungslösungen (für Windows, macOS, Linux) wird von ETM normalisiert und in eine einzige Policy-Eingabe umgewandelt. Das Abschalten der Verschlüsselung wird sofort erfasst.
Änderungen in den Geräte-Zertifikatspeichern — Hinzufügen eines neuen vertrauenswürdigen Root-Zertifikats, Signierereignisse, die auf einen Eingriff hindeuten — werden kontinuierlich protokolliert. Diese Telemetrie ist besonders für die Erkennung von TLS-Interception und verstecktem Proxy ein wertvolles Signal.
Ereignisse wie das Anlegen eines neuen lokalen Benutzers, das Hinzufügen eines bestehenden Kontos zur Admin-Gruppe oder die Änderung der Passwortrichtlinie sind in der Telemetrie enthalten. Änderungen an der Berechtigungsoberfläche des Geräts entgehen der Unternehmenskontrollschicht nicht.
Aktive Netzwerkschnittstellen, IP-Konfigurationen, DNS-Serverzuweisung, Standardroute und VPN-Tunnelstatus werden kontinuierlich gemessen. Ein unerwarteter Tunnel, eine ungewöhnliche DNS-Zuweisung oder gleichzeitiger Zugriff aus zwei Netzwerken werden durch ETM sichtbar gemacht.
Der auf dem Gerät laufende Prozessbaum, die Startzeit, übergeordnete Prozessbeziehungen und offene Netzwerkports werden aufgezeichnet. Der Start eines anomalen Dienstes oder das Lauschen an einem unerwarteten Port spiegelt sich als Ereignis wider.
Daten aus drei verschiedenen Betriebssystemen werden in einem einzigen Datenmodell normalisiert. Der Operator muss für Windows und Linux keine separaten Abfragen schreiben; dieselbe Richtlinie kann auf das gesamte Geräte-Inventar angewendet werden.
Continuous Telemetry ist nicht nur eine technische Kapazität; sie ist ein ganzheitliches operatives Modell für Datenspeicherung, -konsum und Entscheidungsintegration.
Für jede Datenkategorie kann ein separates Erfassungsintervall definiert werden. Kritische Kategorien — Sicherheitsagent-Status, Festplattenverschlüsselung — können im Sekundenbereich liegen; Kategorien mit geringer Intensität — Software-Inventar — können stündlich oder täglich erfasst werden. Das Betriebsteam bestimmt die Balance nach Geräte- und Netzwerklast.
Telemetrie wird nicht nur gespeichert; für Statusänderungen können Schwellwerte definiert werden. Wenn der Endpoint Threat Protection (EDR)-Agent zu laufen aufhört, ein neuer Benutzer zur Admin-Gruppe hinzugefügt oder die Festplattenverschlüsselung abgeschaltet wird, erzeugt ETM ein Ereignis.
Wenn die Telemetrie an die AAM-Seite übertragen wird, ist das Vertrauensniveau eines Geräts kontinuierlich aktualisiert. Für ein Gerät, dessen Status sich nach dem Login verschlechtert, kann AAM zusätzliche MFA anfordern oder die Sitzung beenden.
Telemetrie kann roh oder auf Ereignisebene an ein SIEM übertragen werden. Für die langfristige Aufzeichnung auf Unternehmens-SIEM-Plattformen wird ein Stream bereitgestellt. Ereigniskorrelation kann zusammen mit der Anwendungszugriffsschicht erfolgen.
Die zu erfassenden Datenkategorien und das Detailniveau werden über die Richtlinie verwaltet. Es kann konfiguriert werden, dass keine übermäßigen Daten erfasst, Felder mit personenbezogenen Informationen maskiert und die Aufbewahrungsdauer begrenzt werden. Für GDPR und sektorale Regulatoren kann eine geeignete Konfiguration vorgenommen werden.
Die Schicht für Telemetrieerfassung und -bewertung skaliert, um Zehntausende von Endpoints aus einem einzigen TR7-Cluster zu verwalten. Speicherung, Abfrage und rückwirkende Untersuchung werden nach Datenintensität geplant.
Stoppt ein Angreifer auf einem zum Login-Zeitpunkt sicheren Gerät den Endpoint Threat Protection (EDR)-Agenten, erfasst ETM diesen Zustand innerhalb von Sekunden. AAM kann automatisch zusätzliche MFA auslösen, die Sitzung aussetzen oder eine vollständige Blockierung anwenden.
Wenn ein Benutzer, der auf Finanz- oder Gesundheitsdaten zugreift, während der Sitzung ein neues USB-Laufwerk anschließt, spiegelt ETM dies als Ereignis wider. Je nach Richtlinie können zusätzliche Kontrollen zur Verhinderung des Datenkopierens aktiviert werden oder es erfolgt eine Operator-Warnung.
Das Hinzufügen eines neuen Zertifikats zu den vertrauenswürdigen Root-Zertifikaten eines Geräts kann ein Anzeichen für TLS-Interception sein. ETM zeichnet diese Änderung als sofortiges Ereignis auf; das Sicherheitsteam kann eine Untersuchung einleiten oder das Gerät wird in die Klasse at-risk eingestuft.
Anwendungen außerhalb des genehmigten Software-Inventars, ohne Lizenz oder in alter Version werden kontinuierlich gemeldet. Das Betriebsteam erstellt Patch-Pläne nach dem tatsächlichen Inventar; für Audit-Prozesse ist eine Beweiskette bereit.
Sehen wir uns ETM Continuous Telemetry in Ihrer eigenen Umgebung an — planen wir eine an Ihr Geräte-Inventar angepasste Live-Setup-Tour.