EN

Wanneer EDR uitvalt: waarom Network Detection & Response (NDR) belangrijker is dan ooit

Datum: 15-07-2026

Endpoint Detection & Response (EDR) is uitgegroeid tot een belangrijk fundament van moderne cybersecurity. Door activiteiten op endpoints zoals servers, werkstations en laptops te monitoren, kunnen EDR-oplossingen malware, verdachte processen en kwaadaardig gedrag snel identificeren.

Toch erkennen securityprofessionals steeds vaker een belangrijke beperking: EDR werkt alleen wanneer endpointtelemetrie beschikbaar is.

Wanneer een EDR-agent crasht, niet op alle systemen is geïnstalleerd of bewust door een aanvaller wordt uitgeschakeld, kan het zicht op een aanval verdwijnen op precies het moment dat dit het hardst nodig is.

Deze toenemende uitdaging is een van de belangrijkste redenen waarom Network Detection & Response (NDR) een steeds belangrijkere laag binnen moderne cyberbeveiliging is geworden. NDR vervangt EDR niet, maar vult endpointbeveiliging aan door continu inzicht te bieden in netwerkverkeer. Hierdoor kunnen organisaties cyberdreigingen blijven detecteren, zelfs wanneer endpointtelemetrie niet meer beschikbaar is.
 

Waarom EDR niet iedere aanval kan detecteren

Moderne aanvallers vertrouwen zelden op slechts één techniek. Voordat zij ransomware uitvoeren, gevoelige informatie stelen of zich lateraal door een omgeving bewegen, proberen veel dreigingsactoren eerst het zicht van beveiligingsteams te beperken.

Dat kan onder andere gebeuren door:
  • EDR-agents uit te schakelen of te manipuleren
  • Onbeheerde of niet-ondersteunde apparaten aan te vallen
  • Systemen te misbruiken waarop endpointbeveiliging nog niet is geïnstalleerd
  • Endpointtelemetrie tijdens een aanval te onderbreken

Hoewel EDR een essentiële beveiligingsmaatregel blijft, hebben organisaties aanvullende detectiemogelijkheden nodig die onafhankelijk van het endpoint zelf functioneren. Hier biedt Network Detection & Response (NDR) belangrijke meerwaarde door netwerkcommunicatie continu te monitoren, in plaats van uitsluitend op endpointgegevens te vertrouwen.
 

Het netwerk blijft altijd communiceren

Zelfs wanneer het zicht op endpoints verloren gaat, blijven gecompromitteerde systemen communiceren. Aanvallers moeten nog steeds:
  • Domeinnamen via DNS opvragen
  • Verbinding maken met command-and-control-infrastructuur (C2)
  • Zich lateraal tussen systemen bewegen
  • Zich bij interne diensten authenticeren
  • Gestolen gegevens exfiltreren

Al deze handelingen laten sporen achter in het netwerkverkeer. In tegenstelling tot endpointtelemetrie kan deze communicatie niet zomaar verdwijnen zonder dat dit gevolgen heeft voor de aanval zelf.

Dat maakt Network Detection & Response tot een krachtige aanvullende detectielaag voor het identificeren van dreigingen die anders verborgen zouden kunnen blijven. Door netwerkgedrag te analyseren in plaats van uitsluitend endpointactiviteit, stelt NDR organisaties in staat zicht te houden op aanvallen, zelfs wanneer aanvallers endpointbeveiliging proberen te omzeilen.
 

Wat is Network Detection & Response (NDR)?

Network Detection & Response (NDR) analyseert continu het netwerkverkeer om kwaadaardige activiteiten, verdacht gedrag en indicators of compromise te identificeren. In plaats van zich te richten op processen die op afzonderlijke endpoints worden uitgevoerd, observeert NDR de communicatie binnen het netwerk. Hierdoor ontstaat inzicht in de interacties tussen gebruikers, apparaten, servers en externe infrastructuur.

In tegenstelling tot traditionele netwerkmonitoring is Network Detection & Response specifiek ontworpen om cyberdreigingen te detecteren door netwerkgedrag, protocolmetadata en threat intelligence te analyseren. Nu organisaties steeds vaker gebruikmaken van clouddiensten, hybride infrastructuren en Operational Technology (OT), wordt NDR steeds belangrijker voor het detecteren van geavanceerde aanvallen binnen complexe omgevingen.

Hiermee kunnen securityteams onder andere het volgende detecteren:
  • Laterale beweging
  • Command-and-control-communicatie
  • DNS-afwijkingen
  • Data-exfiltratie
  • Verdacht protocolgebruik
  • Verkenningsactiviteiten
  • Interne dreigingen

Door netwerkgedrag te monitoren in plaats van uitsluitend op endpointtelemetrie te vertrouwen, biedt Network Detection & Response een onafhankelijke laag voor dreigingsdetectie die bestaande beveiligingstechnologieën aanvult.
 

Hoe WatchEagle meerdere detectielagen combineert

WatchEagle NDR combineert verschillende aanvullende detectietechnologieën om dieper inzicht in het netwerk te bieden, de nauwkeurigheid van detecties te verhogen en het aantal false positives te verminderen.

In plaats van op één detectie-engine te vertrouwen, correleert WatchEagle Network Detection & Response informatie uit verschillende bronnen om een compleet beeld van kwaadaardige activiteiten op te bouwen. Door signature-based detectie, gedragsanalyse en threat intelligence te combineren, helpt WatchEagle securityteams aanvallen te detecteren die door afzonderlijke beveiligingstools mogelijk worden gemist.

Suricata: bekende dreigingen in realtime detecteren
Suricata vormt de eerste laag van netwerkdetectie. Met behulp van deep packet inspection (DPI) en signature-based analyse inspecteert Suricata continu het netwerkverkeer op bekende aanvalstechnieken en kwaadaardige activiteiten. Hiermee kunnen onder andere de volgende dreigingen snel worden gedetecteerd:
  • Malwarecommunicatie
  • Exploitpogingen
  • Bekend command-and-control-verkeer
  • Misbruik van netwerkprotocollen
  • Inbraakpogingen

Wanneer kwaadaardig netwerkverkeer overeenkomt met bestaande detectieregels, kan Suricata direct een waarschuwing genereren. Daarmee ontstaat een eerste aanwijzing dat er mogelijk verdachte activiteiten plaatsvinden.

Zeek: netwerkgedrag begrijpen
Waar Suricata bekende dreigingen identificeert, richt Zeek zich op het begrijpen van netwerkgedrag. In plaats van uitsluitend signatures te vergelijken, registreert Zeek uitgebreide metadata over netwerksessies en protocollen, waaronder:
  • DNS
  • HTTP
  • HTTPS/TLS
  • SMB
  • SSH
  • OT-protocollen over IP

Dit inzicht in netwerkgedrag helpt securityanalisten aanvalsketens te reconstrueren en exact te begrijpen hoe een aanvaller zich door een omgeving heeft bewogen.

Zeek is met name waardevol voor het detecteren van:
  • Laterale beweging
  • Verdachte authenticatiepatronen
  • Langdurige aanvallerssessies
  • Ongebruikelijke interne communicatie
  • Interne dreigingen

Door gedrag te analyseren in plaats van alleen signatures, voegt Zeek essentiële context toe aan iedere detectie.

MISP: threat intelligence toevoegen
Detecties worden aanzienlijk waardevoller wanneer meldingen ook context bevatten. WatchEagle NDR integreert het Malware Information Sharing Platform (MISP) om detecties te verrijken met continu bijgewerkte threat intelligence. 

MISP stelt organisaties in staat om:
  • Indicators of compromise (IOC's) te delen
  • Aanvalscampagnes en dreigingsactoren met elkaar te correleren
  • Threat intelligence automatisch te verspreiden
  • Detectieregels voor Suricata en Zeek te genereren
  • Nieuwe observaties terug te koppelen aan het intelligence-ecosysteem

Hierdoor ontwikkelt Network Detection & Response zich mee met het dreigingslandschap en kunnen ook nieuwe aanvalstechnieken tijdig worden herkend.
 

Correlatie zorgt voor betere detectie

Moderne cyberaanvallen bestaan zelden uit één afzonderlijke gebeurtenis. De ene waarschuwing kan wijzen op verdacht netwerkverkeer, terwijl een andere ongebruikelijk authenticatiegedrag laat zien. Afzonderlijk lijken deze gebeurtenissen mogelijk niet ernstig. In combinatie kunnen zij echter wijzen op een actieve aanval.

Het vermogen om meerdere bewijsbronnen met elkaar te correleren, is een van de belangrijkste kenmerken van moderne Network Detection & Response-platformen. In plaats van losse waarschuwingen te genereren, verbindt een effectieve NDR-oplossing gebeurtenissen binnen het netwerk om de volledige aanvalsketen zichtbaar te maken.

WatchEagle NDR correleert informatie uit verschillende detectielagen om afzonderlijke waarschuwingen om te zetten in bruikbaar en onderbouwd bewijs.

Bijvoorbeeld:
  • MISP identificeert communicatie met een bekend kwaadaardig IP-adres.
  • Suricata detecteert netwerkverkeer dat overeenkomt met een bekende aanvalssignature.
  • Zeek reconstrueert de volledige communicatiesessie en het bijbehorende netwerkgedrag.

In plaats van losse, niet-gerelateerde waarschuwingen ontvangen analisten een tijdlijn die uitlegt wat er is gebeurd, hoe dit is gebeurd en waarom het relevant is.
 

Waarom detectie in meerdere lagen belangrijk is

Cybersecurity draait niet langer om de keuze tussen Endpoint Detection & Response (EDR) en Network Detection & Response (NDR). Moderne organisaties behalen de meeste waarde wanneer beide technologieën als aanvullende detectielagen samenwerken. Waar EDR zich richt op activiteiten die rechtstreeks op endpoints plaatsvinden, monitort Network Detection & Response de communicatie binnen het volledige netwerk. Daarmee biedt NDR onafhankelijk inzicht dat beschikbaar blijft wanneer endpointtelemetrie onvolledig is of bewust wordt uitgeschakeld. 

Samen zorgen EDR en NDR voor een veel robuustere detectiestrategie.

Nu aanvallers steeds meer technieken ontwikkelen om endpointbeveiliging te omzeilen, hebben organisaties onafhankelijke zichtbaarheid nodig waarmee kwaadaardige activiteiten overal binnen de omgeving kunnen worden gedetecteerd. Het combineren van endpointzichtbaarheid met netwerkzichtbaarheid verbetert de mogelijkheden om cyberincidenten te detecteren, onderzoeken en beantwoorden aanzienlijk.
 

Conclusie: endpointzichtbaarheid blijft essentieel, maar mag niet de enige bron van waarheid zijn

Wanneer EDR niet meer beschikbaar is, stoppen aanvallers niet met communiceren. Iedere DNS-query, laterale beweging, command-and-control-verbinding en gegevensoverdracht laat sporen achter binnen het netwerk. Network Detection & Response (NDR) biedt onafhankelijk inzicht in deze communicatie, waardoor securityteams geavanceerde aanvallen vanuit het netwerk zelf kunnen detecteren, onderzoeken en begrijpen.

Door signature-based detectie, gedragsanalyse en continu bijgewerkte threat intelligence te combineren, levert WatchEagle NDR gecorreleerd bewijs in plaats van losse waarschuwingen. Hierdoor kunnen organisaties sneller reageren, incidenten met meer zekerheid onderzoeken en hun algehele cyberweerbaarheid versterken.

Nu cyberdreigingen zich voortdurend blijven ontwikkelen, wordt het combineren van Endpoint Detection & Response (EDR) met Network Detection & Response (NDR) steeds meer gezien als best practice voor organisaties die op zoek zijn naar volledige dreigingsdetectie, beter inzicht in hun netwerk en een sterkere cyberweerbaarheid.

 
Wanneer EDR uitvalt: waarom Network Detection & Response (NDR) belangrijker is dan ooit