Auf der it-sa 2024 in Nürnberg haben wir am Stand noch darüber gesprochen und seit Dezember 2024 haben wir es im Testlauf. Die Rede ist vom EDR aus dem Hause HarfangLab. Zeit für ein erstes Resümee.

Wer steckt hinter HarfangLab?

Die Firma wurde 2018 unter anderen von ehemaligen Angehörigen der französischen Marine des Verteidigungsministeriums sowie großen privaten Unternehmen in Paris gegründet. Man wusste um die Notwendigkeit einer europäischen EDR-Lösung. Die Zielsetzungen waren dabei klar und stellen somit auch gleich einige Vorteile heraus:

  • HarfangLab ist ein 100%iger europäischer Anbieter (aus Paris).
  • In der digitalen Lieferkette werden keine amerikanischen Clouds wie AWS oder Azure verwendet, um die Datenlokalisierung in der EU sicherzustellen.
  • HarfangLab EDR ist das erste EDR, welches von der ANSSI (französisches BSI) zertifiziert ist und vom BSI als zertifiziert anerkannt wird.
  • Die Lösung wird sowohl für On-Prem als auch aus der Cloud angeboten.
  • Die On-Prem Lösung hat ohne Kompromisse die gleichen Funktionalitäten wie die Cloud-Lösung und ist auch offline verfügbar (etwa in air-gapped Zonen).
  • Die Agenten auf den Endpunkten schützen auch ohne Verbindung zum Internet oder zum Manager.

Weitere Vorteile

Mit den bis hierhin genannten Punkten ist es noch nicht getan. Erwähnenswert ist außerdem:

  • Alle Detection Rules einsehbar, auch die vom Hersteller gepflegten Whitelists (Transparenz um Vertrauen zu schaffen). Zusätzlich hilft dies auch den Analysten genau zu verstehen, was eigentlich auf dem System passiert ist (im Gegensatz zu einem Alarm mit nur einer generellen Beschreibung).
  • Offene API, voll dokumentiert im Produkt. Somit kann das EDR mit anderen Lösungen integriert werden.
  • Geringe Ressourcen-Nutzung des Agents durch die Erstellung in Rust, dieses gilt auf Grund des Speicher-Managements zudem als eine sehr sichere Programmiersprache.
  • Fünf Engines (signatur-, verhaltens und KI-basiert).
  • uvm.

EDR oder EPP?

HarfangLab bietet sein EDR einzeln oder Zusammen mit dem Virenschutz von IKARUS als EPP (Endpoint Protection Platform) an. Der Vollständigkeit halber sei zudem erwähnt, das man auch Microsofts Defender verwalten kann. Einen Überblick erhält man auf der Paket-Seite.

Offizielle Test-Ergebnisse

Neben diesem Blog-Beitrag finden sich viel relevantere Tests, wie z.B.

Die folgende Grafik stellt zudem noch mal sehr gut dar, wie gut sich HarfangLab beim MITRE 2024 geschlagen hat:

Quelle: https://www.linkedin.com/posts/skylerschmanski_edr-mitre-activity-7274427832808677377-s5Ac Mit freundlicher Genehmigung von HarfangLab zur Verfügung gestellt.

Erster Eindruck

Für unseren Test wurde uns ein EDR-Tenant aus der Cloud (gehostet bei OVH) gestellt und der Agent auf einem Windows 11 Pro in unserem Lab installiert. Die Agents sind für alle gängigen Windows-Versionen und diverse Linux-Derivate sowie macOS verfügbar. Die Systemvoraussetzungen für die Agents sind erfreulich niedrig und im laufenden Betrieb ist uns nichts in Sachen Performance aufgefallen.

Die Verwaltung erfolgt über einen Browser, das Web-Interface ist nicht nur performant, sondern zudem klar strukturiert. Man findet sich also schnell zurecht. Von überall aus kann man die Dokumentation und die Support-Seite aufrufen sowie (exklusiv in der Cloud-Variante) zudem einen KI-gestützten Chatbot, genannt Kio, nutzen.

Zunächst definiert man unter “Endpoint – Policies” die gewünschten Richtlinien (Policies), mit deren Hilfe die Konfiguration der Agents festgelegt wird. Wichtig ist zu Beginn, das man zunächst nur beobachten lässt und nicht gleich etwas unterbindet. Man sollte also erstmal schauen, ob etwas auffällt und nicht gleich in die Vollen gehen und so unter Umständen eine Produktiv-Umgebung lahm legen. Die vordefinierte “default”-Richtlinie kann man aus Ausgangspunkt verwenden. Diese kopiert man und konfiguriert diese Kopie nach den eigenen Ansprüchen:

Wichtig: Ein EDR erfasst sehr viele Daten, d.h. man kommt unweigerlich mit den Themen Datenschutz und Mitarbeiterüberwachung in Berührung, dementsprechend sollte man sich eine entsprechende Beratung und Absicherung zu gute kommen lassen.

Agent installieren bzw. verteilen

Unter “Administration – Configuration” findet sich auf dem Reiter “Agent installers” alles was man für die Installation der Agenten auf den Endgeräten benötigt. Von den Installationsdateien bis hin zu den CLI-Optionen ist alles gegeben:

Wie sieht ein Alarm aus und wie geht es dann weiter?

Wie man bereits weiter oben im Screenshot des Dashboards sehen kann, haben sich auf unserem Testsystem einige Merkwürdigkeiten ergeben. Durch Anklicken der jeweiligen Kategorien erfährt man mehr bis hin zur detaillierten Darstellung was genau bei dem jeweiligen Ereignis vorgefallen ist. Hier mal ein Beispiel anhand der Installation des RDP Wrappers, die sowohl gewollt als auch ungewollt sein kann:

Anhand eines Ereignisses kann man entscheiden wie es weiter gehen soll. So kann beispielsweise eine weitere Analyse erfolgen oder das betroffene Endgerät kann isoliert werden.

Wie bereits erwähnt legt man bei HarfangLabs Wert auf Transparenz. Am Beispiel eines Alarms kann man zudem sich die Regel ansehen welche die Meldung ausgelöst hat. Dies hilft zu Verstehen wie es zum Alarm kommen konnte. Ein Beispiel:

Ebenfalls gelungen ist der “Process tree”, mit dessen Hilfe man grafisch den Ablauf dargestellt bekommt:

Was fehlt (noch)?

Was HarfangLab nicht anbietet ist eine Überprüfung ob bestimmte Richtlinien, z.B. DSGVO/GDPR, eingehalten werden, ebenso wenig gibt es einen Scan auf Sicherheitslücken, ferner gibt es keine konkrete Handlungsempfehlung wie man eine Anomalie behebt(z.B. Update installieren, Konfiguration anpassen, etc.).

HarfangLab arbeitet fortlaufend daran, sein Produkt zu verbessern. Aktuell fehlt dem EDR eine eigene Benachrichtigungsmöglichkeit, z.B. via E-Mail. Bislang ging man davon aus, dass das EDR ein Teil einer gesamten SIEM-Umgebung darstellt, wie sich an Hand der guten Dokumentation und der Integrierbarkeit sowie der offenen Schnittstellen deutlich zeigt.

Für kleinere Umgebungen und für den stand-Alone Betrieb soll es mit einem der nächsten Updates eine Benachrichtigungsmöglichkeit geben. Damit wird HarfangLab für kleine und mittlere Umgebungen sowie MDR-Anbieter und Systemhäuser noch interessanter.

Was noch?

Lesenswert sind die haus-eigenen Blogs unter https://harfanglab.io/blog/ und https://harfanglab.io/insidethelab/.

Wie bereits erwähnt kann HarfangLab EDR dank offener Schnittstellen und Dokumentation mit anderen Lösungen integriert werden. Als erster Anlaufpunkt bietet sich die Konnektoren-Seite an, die beispielsweise Abschnitte zu SIEM oder SOAR und mehr bietet. So erhält man einen ersten Eindruck, was von vornherein möglich ist. Jenseits dessen kann man selbst die API ansprechen und somit weitere Integrationen ermöglichen.

HarfangLab EDR und EPP gibt es nur über das Partner-Programm. Wer mehrere oder viele kleine Kunden betreut dürfte sich über die Möglichkeit freuen, diese in einem Shared-Tenant abbilden zu können. In diesem Fall muss man dies über Gruppen/Ordner und Richtlinien entsprechend organisieren. Für eine eigene On Prem-Installation wird übrigens kubernetes benötigt.

Der Support erfolgt auf Englisch oder Französisch, die Dokumentation ist ebenfalls in beiden genannten Sprachen verfügbar.

Fazit und Fragen

Soweit ein erster Eindruck. Von der Fülle an Daten wird man erstmal, sofern man nicht schon Erfahrung mit EDR/XDR und SIEM hat, überrascht. Man kommt allerdings recht schnell rein. Weiter helfen tut die Dokumentation und die Hersteller-eigene Acadamy. Die persönlichen Ansprechpartner und der Support tun ihr übriges.

Habt ihr Fragen zu Harfang Lab EDR? Hinterlasst mir gerne ein Kommentar oder meldet euch via Kontaktformular bei mir.
Sofern ich diese selbst beantworten kann, mach’ ich das natürlich gerne. Ansonsten reiche ich diese gerne weiter oder, mit eurem Einverständnis versteht sich, vermittle gerne den Kontakt.

Danksagung

Vielen Dank an Lennart und Jürgen von HarfangLab für die Teststellung.


Wie hat Dir der Artikel gefallen ?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Stimmen, durchschnittlich 5,00 von 5 Sternen)
Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.