NAC + EDR + NDR: OSI-schichtbasierte Telemetrie zusammenführen

NAC + EDR + NDR: OSI-schichtbasierte Telemetrie zusammenführen ist einer der schnellsten Wege, um aus vielen Einzelsignalen ein belastbares Lagebild zu bauen. In vielen Unternehmen existieren Network Access Control (NAC), Endpoint Detection & Response (EDR) und Network Detection & Response (NDR) bereits – aber sie arbeiten nebeneinander, mit unterschiedlichen IDs, Zeitstempeln und Kontexten. Das Ergebnis sind doppelte Alerts, unklare Ownership und langwierige Analysen, weil die entscheidende Frage offen bleibt: „Welches Gerät hat wann wo was getan – und wie hängt das mit dem Netzwerkfluss zusammen?“ Das OSI-Modell bietet eine gemeinsame Sprache, um Telemetrie systematisch zu ordnen: NAC liefert primär Layer-1/2-Identität und Zugangsentscheidungen, NDR sieht Layer 3/4-Verbindungen und Muster, EDR liefert Layer 7-nahe Prozess- und Host-Evidence. Wenn diese Daten konsistent korreliert werden, entsteht aus drei Werkzeugen ein zusammenhängendes Detection- und Response-System: vom Port im Switch über IP- und Flow-Metadaten bis zum Prozess, der den Traffic ausgelöst hat. In der Praxis ist das weniger „Daten sammeln“ als saubere Normalisierung, Identitätsmapping und ein klares Betriebsmodell.

Begriffe sauber trennen: NAC, EDR und NDR in einem Satz

Bevor die Integration beginnt, lohnt sich eine präzise Abgrenzung, weil sonst Erwartungen falsch gesetzt werden.

• NAC kontrolliert und dokumentiert den Netzwerkzugang von Endpunkten (wer/was darf in welches Segment), typischerweise über 802.1X, MAB oder ähnliche Mechanismen. Eine technische Einordnung bietet Network Access Control.
• EDR erkennt und untersucht sicherheitsrelevante Ereignisse auf dem Endpunkt (Prozesse, Dateien, Registry, Speicherevidence, Befehlszeilen, Benutzerkontext) und ermöglicht Containment-Aktionen wie Isolation oder Kill. Hintergrund: Endpoint detection and response.
• NDR analysiert Netzwerkverhalten (Flows, Protokollmetadaten, teils Pakete) und erkennt Anomalien, C2-Muster, laterale Bewegung oder Exfiltrationsindikatoren. Überblick: Was ist NDR?.

Die Kunst ist nicht, alle Daten in ein Tool zu „kippen“, sondern die Stärken entlang der OSI-Schichten zu kombinieren.

Warum OSI-Mapping die Korrelation vereinfacht

Ohne OSI-Logik wird Telemetrie oft nach Produktgrenzen strukturiert: NAC-Dashboards, EDR-Konsole, NDR-Ansicht. Für Incident Response ist das unpraktisch, weil Angriffe sich entlang von Schichten bewegen: Ein kompromittierter Host (EDR) initiiert Verbindungen (NDR), während sein Netzwerkzugang und seine Segmentzugehörigkeit (NAC) bestimmen, welche Ziele erreichbar sind. Das OSI-Modell zwingt zu einer objektzentrierten Sicht:

• Objekt: Gerät/Workload, Benutzer/Identität, Netzwerkport, IP/MAC, Session/Flow.
• Beziehung: „Gerät A ist am Switchport X“, „IP Y gehört zu Gerät A“, „Prozess P auf Gerät A öffnet Flow F“.
• Zeit: Alle Beziehungen sind zeitabhängig (DHCP, VPN, Roaming, NAT, Container-Lebenszeit).

Damit wird aus „ein Alert im NDR“ schnell eine belastbare Hypothese: „Der Flow kam von Host H, zu diesem Zeitpunkt am Port X, in Zone Z, ausgelöst durch Prozess P, unter Benutzer U.“

Welche Telemetrie pro OSI-Schicht typischerweise aus welchem System kommt

Ein praktisches Integrationsdesign startet nicht mit Datenfeldern, sondern mit Schichtzuordnung. Die folgende Einordnung ist bewusst praxisnah; einzelne Produkte können mehr oder weniger liefern.

• Layer 1/2 (Physisch/Link): NAC (Switchport, Auth-Methode, VLAN/SGT/Policy, MAC-Adresse, Link-Events), ergänzend Switch-Logs.
• Layer 3 (Netzwerk): NDR (Quell-/Ziel-IP, Subnetze, TTL-Anomalien, Routing-Nähe), ergänzend Flow Logs/Firewall Logs.
• Layer 4 (Transport): NDR (Ports, TCP-Flags, Handshake-Charakteristik, Reset-Raten, State-Anomalien), ergänzend Load-Balancer/Firewall Telemetrie.
• Layer 5 (Session): EDR und NDR (Remote Sessions wie RDP/SMB, Kerberos/LDAP-Muster, VPN-Zuordnung je nach Setup).
• Layer 6 (Presentation): NDR (TLS-Metadaten wie SNI/ALPN/JA3, Zertifikatsinfos), EDR (Zertifikatsspeicher, TLS-Libraries), Referenz zu TLS 1.3: RFC 8446.
• Layer 7 (Application): EDR (Prozess und Commandline als „Client-App“), NDR (DNS/HTTP-Header-Metadaten je nach Sensor), plus App-/Proxy-Logs.

Der Kern der Integration: eine verlässliche Identitätskette

Die wichtigste technische Herausforderung ist nicht Machine Learning, sondern Identität: NAC und Netzwerk arbeiten mit MAC/Port/VLAN, NDR häufig mit IP/Flow, EDR mit Host-ID/Agent-ID und Prozesskontext. Wer diese IDs nicht sauber verknüpft, bekommt Korrelation mit hoher Fehlerquote. Ein robustes Design baut auf drei Prinzipien.

Prinzip 1: „Device Identity“ als Primärschlüssel definieren

Wählen Sie eine kanonische Geräte-ID, die in Ihrem Unternehmen tragfähig ist. In der Praxis sind das häufig Kombinationen aus:

• EDR-Agent-ID (stabil, wenn Agent sauber verwaltet wird)
• Hardware-Seriennummer/Asset-ID (stabil, aber oft nicht überall verfügbar)
• Zertifikats-Subject/Device Certificate (stabil, besonders bei 802.1X/EAP-TLS)
• Hostname + Domänenkontext (praktisch, aber nicht immer eindeutig)

MAC- und IP-Adressen sind wichtige Attribute, aber selten gute Primärschlüssel, weil sie sich ändern (WLAN, Docking, Virtualisierung, DHCP, Privacy MACs).

Prinzip 2: „Time-Bounded Mapping“ statt statischer Zuordnung

Korrelation muss zeitgebunden sein: „IP 10.1.2.3 gehörte zwischen 10:05 und 12:10 zu Device D.“ Das ist entscheidend für DHCP, VPN, NAT und Cloud-Workloads. Ohne Zeitfenster entstehen falsche Zuordnungen – besonders bei hohen IP-Reuse-Raten.

Prinzip 3: Ownership- und Zonen-Kontext als erstes-class Feld

Für Response ist es essenziell, Zonen und Verantwortlichkeiten maschinenlesbar zu haben: Standort, Netzwerkzone, Business Unit, Kritikalität, Gerätetyp, Managed/Unmanaged. NAC liefert hier wertvolle Signale (Compliance/Profiling), EDR liefert Managed-Status und Risikohistorie.

Normalisierung: Ein gemeinsames Event-Schema statt Tool-Silos

Damit Korrelation reproduzierbar wird, braucht es ein einheitliches Schema. Ob Sie dafür ein SIEM, ein Data Lake oder eine XDR-Plattform nutzen, ist weniger wichtig als die Konsistenz. Bewährt hat sich eine objektorientierte Struktur:

• Device: device_id, hostname, os, edr_agent_id, asset_tags
• Network Attachment: mac, switch_id, port, ssid, vlan/segment, auth_method, posture, start_time, end_time
• IP Lease / Address: ip, dhcp_server, lease_start, lease_end, gateway, network_zone
• Flow / Session: src_ip, dst_ip, src_port, dst_port, proto, bytes, packets, start/end, tls_metadata
• Endpoint Activity: process_name, pid, parent, cmdline, user, file_hash, network_connection_reference
• Verdict/Action: alert_type, severity, confidence, action_taken, containment_state

Für Log- und Event-Standards kann es hilfreich sein, sich an verbreiteten Formaten zu orientieren (z. B. Elastic Common Schema), um Integrationen zu beschleunigen: Elastic Common Schema (ECS).

Korrelation in der Praxis: vom NDR-Flow zum EDR-Prozess und zurück

Ein häufiger Anwendungsfall ist die Frage: „Welcher Prozess hat diesen verdächtigen Netzwerktraffic erzeugt?“ Der Ablauf lässt sich OSI-basiert klar definieren:

• Schritt 1 (NDR, L3/L4): Verdächtigen Flow identifizieren (z. B. ungewöhnliche Zielregion, seltene Ports, Beaconing-Muster).
• Schritt 2 (Mapping): Flow-Quell-IP zum Device mappen (IP-Lease/VPN/NAT-Kontext im relevanten Zeitfenster).
• Schritt 3 (NAC, L2): Netzwerkattachment des Devices bestimmen (Switchport/WLAN, Segment, Posture, Auth-Methode).
• Schritt 4 (EDR, Host): Auf dem Device den Prozesskontext zur Zeit des Flows finden (NetConn Events, Prozessbaum, Benutzer).
• Schritt 5 (Response): Aktion ableiten (EDR-Isolation, NAC-Quarantine-VLAN, Block am Control Point, Ticket an Owner).

Der Rückweg ist genauso wichtig: Wenn EDR einen Prozess als bösartig markiert, sollte NDR helfen, alle zugehörigen Netzwerkbeziehungen zu finden (C2, laterale Scans, Exfiltration) und NAC kann den Zugriff auf ein restriktives Segment zwingen.

Confidence statt „Alles ist kritisch“: ein kombinierter Score aus drei Quellen

Um Alert-Fatigue zu vermeiden, sollten NAC, EDR und NDR nicht nur Events liefern, sondern gemeinsam die Vertrauenswürdigkeit einer Beobachtung erhöhen. Ein einfaches, auditierbares Modell ist ein gewichteter Score aus unabhängigen Signalen. Dabei ist wichtig: Der Score ist eine Entscheidungshilfe, kein Ersatz für Analyse.

S = w·E + w·N + w·A w+w+w

Hier steht E für EDR-Signalstärke (z. B. Malware-Verdict, verdächtige Commandline), N für NDR-Signalstärke (z. B. Beaconing, ungewöhnliche Protokolle), A für NAC/Attachment-Risiko (z. B. unmanaged device, Policy-Verletzung, Posture fail). Die Gewichte w werden je nach Umfeld gewählt. Das Modell bleibt bewusst einfach, damit es nachvollziehbar bleibt und in Runbooks genutzt werden kann.

Telemetrie-Fallstricke, die Integration regelmäßig sabotieren

In der Praxis scheitern Projekte nicht an fehlenden Features, sondern an Details. Die häufigsten Stolpersteine lassen sich vorab entschärfen:

• Unsynchrone Zeit: Abweichende Zeitzonen oder Drift zwischen Sensoren zerstören Zeitfenster-Mapping. NTP ist eine Sicherheitskontrolle.
• IP-Reuse ohne Lease-Logs: DHCP-Logs fehlen oder sind zu kurz aufbewahrt; Korrelation wird unsicher.
• NAT ohne Attribution: Ohne NAT-Logging ist „welcher Client war das?“ oft nicht beantwortbar, besonders bei Shared Egress.
• Unklare Geräteidentität: EDR fehlt auf bestimmten Geräten (IoT/OT), NAC-Profile sind ungenau, Hostnames werden dupliziert.
• Zu wenig Netzwerkattachment: Switchport/SSID/VLAN wird nicht als Event gespeichert, sondern nur als „aktueller Zustand“.
• Datenschutz/Compliance nicht geklärt: Zu frühes Sammeln von Nutzeridentitäten ohne Zweckbindung führt zu Blockaden im Projekt.

Response-Playbooks: NAC- und EDR-Aktionen als abgestufte Maßnahmen

Wenn Telemetrie zusammengeführt wird, sollten auch Gegenmaßnahmen koordiniert sein. Die beste Wirkung entsteht durch abgestufte, reversible Aktionen, die zur Schwere und Confidence passen.

• Stufe 1 (Low Risk): Nur Monitoring erhöhen (zusätzliche Paketaufnahme, engeres NDR-Profiling, EDR-Triage sammeln).
• Stufe 2 (Medium Risk): NAC-Policy verschärfen (Quarantine/Restricted VLAN, nur Remediation-Ziele erlauben), EDR stärker überwachen (Rule Tuning, Prozessbaum sichern).
• Stufe 3 (High Risk): EDR Host-Isolation oder Netzwerkblock, ggf. NAC-Port Shutdown in kritischen Bereichen.
• Stufe 4 (Confirmed): Vollständige Containment-Kette (EDR Isolation + NAC Quarantine + Control-Point Blocks + Credential Reset + Forensik sichern).

Wichtig ist die Reihenfolge: Wenn Forensik relevant ist, sollte zuerst Evidence gesichert werden (EDR-Snapshot, relevante Flows, ggf. PCAP), bevor aggressive Isolationsmaßnahmen Datenquellen abschneiden.

Beispiele, in denen OSI-Korrelation den Unterschied macht

Einige typische Szenarien zeigen, warum die Kombination aus NAC, EDR und NDR mehr ist als „noch ein Dashboard“:

• Rogue Device im LAN: NAC erkennt ein unbekanntes Gerät am Port (L2), NDR sieht Scans/SMB-Verbindungsversuche (L3/L4), EDR existiert nicht (unmanaged) – Response: NAC-Quarantine und Segment-Review.
• Beacons aus legitimer App: NDR erkennt periodische Verbindungen zu seltenen Domains, EDR zeigt einen legitimen Prozess mit manipulierten Parametern, NAC bestätigt Posture fail nach Update-Lücke – Response: Patch/Containment, DNS-Policy, Ursachenanalyse.
• Laterale Bewegung über Admin-Tools: EDR sieht Remote-Execution, NDR sieht Ost-West-Flows, NAC zeigt, dass das Gerät in einem zu offenen Segment hängt – Response: Segmentierung, Privileged Access Controls, NAC-Policy härten.

Messbarkeit: Coverage und Qualität der Telemetrie objektiv bewerten

Damit die Integration dauerhaft funktioniert, sollten Sie Metriken definieren, die nicht nur „Anzahl Alerts“ zählen, sondern Abdeckung und Korrelation messen. Praktische KPIs sind:

• Device Coverage: Anteil der Netzwerkgeräte mit EDR-Agent oder klarer Klassifizierung (managed/unmanaged).
• Attachment Completeness: Anteil der Flows, die eindeutig einem Device + Port/SSID + Segment zugeordnet werden können.
• Time-to-Correlate: Zeit von erstem Alert bis „Device + Prozess + Netzwerkpfad“ eindeutig bestimmt ist.
• False-Positive-Rate nach Fusion: Vergleich der FP-Rate vor/nach kombinierter Bewertung.
• Containment Latency: Zeit bis zur Umsetzung abgestufter Maßnahmen (Quarantine/Isolation/Block).

Implementierungsarchitektur: pragmatische Blaupause für den Betrieb

Eine robuste Architektur lässt sich in wenige Bausteine zerlegen, ohne sich in Tool-Debatten zu verlieren:

• Ingestion: NAC-, EDR- und NDR-Events in einen gemeinsamen Datenspeicher (SIEM/Data Lake/XDR), mit klaren Feldern und Zeitstempeln.
• Identity Graph: Ein Mapping-Layer, der device_id, mac, ip, user, port und Zeitfenster verbindet („wer war wann wo“).
• Detection Layer: Regeln, Anomalieerkennung und Use-Cases, die auf dem Graph arbeiten (z. B. „EDR high + NDR beacon + NAC unmanaged“).
• Response Orchestration: Automatisierung für reversible Aktionen (NAC Quarantine, EDR Isolation), mit Freigabe- und Rollback-Logik.
• Governance: Datenaufbewahrung, Datenschutz, Rollenrechte, Change-Prozesse und Tuning-Routinen.

Operationalisierung im Alltag: Tuning, Zusammenarbeit und nachhaltige Pflege

Damit NAC + EDR + NDR nicht nach dem Projektstart wieder auseinanderdriftet, braucht es einen festen Betriebsrhythmus. Besonders wirksam sind kurze, regelmäßige Schleifen:

• Wöchentliches Triage-Review: Top-Detections, FP-Ursachen, neue Baselines (z. B. neue SaaS-Clients, neue DNS-Patterns).
• Monatliche Coverage-Checks: Unmanaged-Geräte, EDR-Agent-Health, NAC-Policy-Ausnahmen, Sensor-Lücken.
• Runbook-Tests: Geplante Übungen („Tabletop“ oder technisch), um Quarantine/Isolation/Unquarantine sicher zu beherrschen.
• Change-Integration: Jede größere Netz- oder Identitätsänderung (VLANs, VPN, Proxy, PKI) muss Telemetrie und Mapping berücksichtigen.

Wenn Sie diese Disziplin aufrechterhalten, wird das OSI-schichtbasierte Zusammenführen von NAC-, EDR- und NDR-Telemetrie zu einem dauerhaften Vorteil: schnellere Attribution, klarere Verantwortlichkeiten und belastbare Evidence-Ketten – ohne dass Zero Trust oder XDR als Buzzword herhalten müssen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.