Egal wie viele Informationen die meisten Unternehmens-Sicherheitstools über einen Endpoint sammeln, am Ende berichten sie nur. Während eines Incidents greift das IT-Team zum Telefon, ruft den Benutzer an und bittet ihn, das Gerät auszuschalten. Stunden vergehen, der Angreifer ist immer noch im Netzwerk.
Dasselbe Problem besteht auch im verteilten Betrieb. Soll eine neue Richtlinie auf das gesamte Geräte-Inventar angewendet werden, schieben klassische Tools eine Datei, hoffen, dass der Benutzer neu startet, und erfahren tagelang nicht, auf welchem Gerät die Aufgabe abgeschlossen wurde.
Diese Lücke ist die Kluft zwischen passiver Überwachung und aktivem Management. Die ETM-Remote-Action-Fähigkeiten schließen diese Kluft: Über den Agenten wird dem Gerät über einen sicheren Kanal ein Befehl übermittelt, das Ergebnis kommt live zurück, ein Audit-Trail wird geführt.
TR7 ETM arbeitet von der Überwachung bis zur Verwaltung des Geräts über einen einzigen Agenten; die Aktion steht stets unter Richtlinie und Audit.
Ein Operator oder SOC-Analyst führt eine strukturierte Abfrage aus, um den aktuellen Zustand des Inventars abzufragen: 'Auf welchen Geräten ist diese Software installiert?', 'Wer verbindet sich mit dieser IP?', 'Auf welchem Gerät wurde in den letzten 5 Minuten Endpoint Threat Protection (EDR) neu gestartet?'. Die Antwort wird innerhalb von Sekunden gesammelt.
Ein autorisierter Operator kann Befehle an bestimmte Geräte oder das gesamte Geräte-Inventar übermitteln: Dienst neu starten, Software-Patch installieren, Konfiguration ändern, Datei holen, Datei platzieren. Alle Aktionen werden im Audit-Trail aufgezeichnet.
Bei einem Incident oder einer Erkennung mit hohem Risiko kann das Gerät vom Netzwerk getrennt werden — der Internetzugang wird gesperrt, nur der ETM-Verwaltungskanal bleibt offen. Der laterale Bewegungsraum des Angreifers wird geschlossen; das Gerät kann weiterhin aus der Ferne untersucht werden.
Für jeden Befehl werden die Identität des autorisierten Benutzers, der Aktionsgrund und die Zielauswahl auditiert. Für Aktionen mit hohem Risiko kann eine Genehmigungskette definiert werden; die Anfrage eines Operators wird möglicherweise erst angewendet, nachdem sie von einem anderen Operator genehmigt wurde.
Remote Actions ist die aktive Verwaltungsschicht von ETM für Incident-Response-, Betriebs- und Compliance-Teams.
Mit einer strukturierten Abfragesprache werden Tausende von Geräten in einem Durchgang abgefragt. Abfragen wie 'Auf welchen Geräten ist die Festplattenverschlüsselung deaktiviert?', 'Welche Geräte verwenden den Treiber in dieser Version?', 'Gibt es Geräte, auf denen in den letzten 24 Stunden ein neues Admin-Konto erstellt wurde?' liefern innerhalb von Sekunden eine Antwort.
Mit Operator-Genehmigung kann auf dem Gerät ein vordefiniertes Skript oder ein kontrollierter Systembefehl ausgeführt werden. Routineoperationen wie Dienst-Neustart, Log-Sammlung, Anwendung eines temporären Fixes, Registry/plist-Änderung werden aus der Ferne durchgeführt.
Patch-Pakete, Konfigurationsdateien oder für Forensik benötigte Log/Dump-Dateien können auf das Gerät hochgeladen und von ihm geholt werden. Der gesamte Transfer erfolgt über den sicheren Kanal von ETM; es ist nicht nötig, eine direkte Dateifreigabe einzurichten.
Ein SOC-Analyst oder eine Policy-Automatisierung kann einen bestimmten Prozess auf einem einzelnen Gerät oder im gesamten Geräte-Inventar beenden. Die Verbreitung verdächtiger Software, das Laufen eines unerwarteten Dienstes oder das Verhindern eines ressourcenintensiven Prozesses ist sofort möglich.
Ein Gerät kann wegen eines Incidents, eines Endpoint Threat Protection (EDR)-Alarms oder eines Richtlinienverstoßes vom Netzwerk isoliert werden. Während der Isolation werden Internetzugang, interne Netzwerkressourcen und Dienstverbindungen gesperrt; nur der ETM-Verwaltungskanal bleibt offen. Das SOC kann das Gerät weiterhin aus der Ferne untersuchen.
Eine neue Firewall-Regel, ein neues Zertifikatsvertrauen oder eine geänderte Audit-Richtlinie wird von einer einzigen zentralen Definition an das gesamte Geräte-Inventar übermittelt. Der Anwendungsstatus auf jedem Gerät wird live überwacht; fehlgeschlagene Anwendungen können automatisch erneut versucht oder an den Operator gemeldet werden.
Die Geräte, auf die eine Aktion angewendet wird, können nicht nach statischen Gruppen, sondern nach dynamischen Kriterien ausgewählt werden. Live-Query-Ergebnisse wie 'alle Linux-Geräte', 'Geräte des Finanzteams', 'Geräte, bei denen in der letzten Stunde Non-Compliance erkannt wurde' werden direkt zur Zielliste.
Für Aktionen mit hohem Risiko — Dateilöschung im gesamten Geräte-Inventar, Neustart eines Kerndienstes, Netzwerkisolation — kann eine zweifache oder mehrfache Genehmigungskette definiert werden. Die Anfrage eines Operators wird erst angewendet, nachdem sie von einem anderen autorisierten Operator genehmigt wurde.
Nach dem Senden eines Befehls wird die Antwort jedes Geräts live angezeigt: erfolgreich, fehlgeschlagen, offline, ausstehend. Der Operator sieht innerhalb von Sekunden, auf welchem Gerät die Aufgabe abgeschlossen wurde; für unvollständige Aufgaben wird ein erneuter Versuch oder manuelles Eingreifen veranlasst.
Wer, wann, an welches Gerät, welchen Befehl, aus welchem Grund gesendet hat — jede Aktion wird in den Audit-Trail geschrieben. Befehlsausgabe und Geräteantwort werden korreliert gespeichert. Die Audit-Aufzeichnung kann an ein SIEM übertragen und in Audit-Prozessen als Beweis verwendet werden.
Remote Actions integriert sich in die täglichen Arbeitsabläufe von Sicherheits- und Betriebsteams — einschließlich Befehlspalette, Automatisierung, Audit und Reporting.
Welcher Operator auf welche Gerätegruppe welche Aktionen anwenden kann, ist definierbar. Der SOC-Analyst kann auf Incident-Response-Aktionen zugreifen; der IT-Operator kann auf Patch- und Konfigurationsaktionen zugreifen; eingeschränkte Operatoren können nur Abfragen ausführen.
Häufig wiederkehrende Aktionen können als Playbook gespeichert werden: 'Wenn der Endpoint Threat Protection (EDR)-Agent stoppt → Gerät isolieren + SOC benachrichtigen + Log-Dump der letzten 24 Stunden holen'. Ein Playbook kann als Trigger an ETM-Ereignisse gebunden werden.
Für ein Gerät, das zum Befehlszeitpunkt offline ist, wird die Aktion in die Warteschlange gestellt. Sobald sich das Gerät wieder verbindet, werden die ausstehenden Befehle automatisch angewendet; das Ergebnis wird dem Operator gemeldet. Die Wartezeit in der Warteschlange kann über die Richtlinie begrenzt werden.
Aktionen werden je nach Wirkungsoberfläche in Risikoniveaus eingeteilt. Abfragen mit niedrigem Risiko können von einem einzelnen Operator ausgeführt werden; für Massenaktionen mit hohem Risiko ist eine zweite Genehmigung erforderlich. Die Risikoniveaus sind über die Unternehmensrichtlinie konfigurierbar.
Jede Remote-Action-Audit-Aufzeichnung kann an ein SIEM übermittelt werden. Compliance-Teams können ETM-Aktionen für regulatorisches Reporting verwenden; besonders in der Finanz- und Gesundheitsbranche ist dies für das Insider-Eingriffs-Audit kritisch.
Die Architektur für Befehlsversand, Zielauswahl und Ergebnissammlung unterstützt die Anwendung eines Befehls auf Zehntausende von Geräten in einem Durchgang. Die Antwortzeit pro Gerät ist von der parallelen Leitung unabhängig.
Erhält der SOC-Analyst einen Endpoint Threat Protection (EDR)-Alarm, trennt er das betroffene Gerät mit einem Klick vom Netzwerk. Der laterale Bewegungsraum des Angreifers wird geschlossen; das Gerät bleibt für die Remote-Forensik offen. Manuelle Telefonprozesse und stundenlange Verzögerungen entfallen.
Wenn ein neues CVE veröffentlicht wird, führt das IT-Team das Patch-Playbook aus; betroffene Geräte werden per Live Query gefunden, die Patch-Datei übermittelt, der Installationsstatus gemeldet. Stundenlange manuelle Arbeit reduziert sich auf Minuten.
Für eine Untersuchung werden Log-Datei, Memory-Dump oder Konfigurations-Snapshot aus der Ferne vom Gerät geholt. Das Untersuchungsmaterial kommt über einen sicheren Kanal, ohne dass das Gerät den Händen des Benutzers entgleitet und ohne dass dessen Arbeitsablauf gestört wird.
Während eines Audits werden Fragen wie 'Ist auf allen Geräten die Festplattenverschlüsselung aktiv?' oder 'Läuft auf allen Geräten der Endpoint Threat Protection (EDR)-Agent?' innerhalb von Sekunden beantwortet. Statt manueller Inventarberichte wird eine Live-Beweiskette geboten.
Sehen wir uns ETM Remote Actions in Ihrer eigenen Umgebung live an — planen wir eine Setup-Sitzung einschließlich Playbook-Design.