Sophos Central Admindocs.sophos.com/central/Customer/help/de-de/PDF/sc_customer_h.p… · Sophos Central Admin 1 Über diese Hilfe In dieser Hilfe erfahren Sie, wie Sie alle Funktionen

Sophos Central Admin

Hilfe

InhaltÜber diese Hilfe....................................................................................................................................... 1Ihre Lizenz aktivieren............................................................................................................................... 2Übersicht...................................................................................................................................................4

Dashboard..................................................................................................................................... 4Warnhinweise................................................................................................................................ 5Bedrohungsanalyse-Center......................................................................................................... 20Protokolle & Berichte...................................................................................................................35Personen......................................................................................................................................59Geräte.......................................................................................................................................... 72Globale Einstellungen..................................................................................................................95Geräte schützen........................................................................................................................ 173

Endpoint Protection.............................................................................................................................. 189Dashboard................................................................................................................................. 189Protokolle & Berichte.................................................................................................................189Personen....................................................................................................................................192Computer................................................................................................................................... 205Computergruppen...................................................................................................................... 215Richtlinien.................................................................................................................................. 216Einstellungen............................................................................................................................. 243Geräte schützen........................................................................................................................ 281

Verschlüsselung................................................................................................................................... 293Dashboard................................................................................................................................. 293Protokolle & Berichte.................................................................................................................293Personen....................................................................................................................................295Computer................................................................................................................................... 307Nicht verwaltete Computer........................................................................................................317Computergruppen...................................................................................................................... 317Richtlinien.................................................................................................................................. 318Einstellungen............................................................................................................................. 324Geräte schützen........................................................................................................................ 342

Server Protection..................................................................................................................................345Dashboard................................................................................................................................. 345Protokolle & Berichte.................................................................................................................345Server........................................................................................................................................ 348Server auf AWS........................................................................................................................ 360Richtlinien.................................................................................................................................. 363Einstellungen............................................................................................................................. 395Geräte schützen........................................................................................................................ 431

Wireless................................................................................................................................................ 436WLAN-Dashboard......................................................................................................................436Wireless-Warnhinweise............................................................................................................. 438Geräte........................................................................................................................................ 439Nutzungsdaten...........................................................................................................................440Wireless Diagnose.....................................................................................................................440Access Points............................................................................................................................ 449SSIDs.........................................................................................................................................453Standorte................................................................................................................................... 467Einstellungen............................................................................................................................. 469

E-Mail-Gateway.................................................................................................................................... 471Postfächer zum E-Mail-Gateway hinzufügen............................................................................ 471Domaineinstellungen/Status...................................................................................................... 472Richtlinien und Einstellungen.................................................................................................... 473

(2020/06/08)

Email Gateway Dashboard........................................................................................................474Bericht über den Nachrichtenverlauf.........................................................................................475Bericht „Nachrichtenübersicht“.................................................................................................. 477Advanced-Threat-Report........................................................................................................... 477Time-of-Click-Übersicht............................................................................................................. 478Risikobenutzer........................................................................................................................... 478Verstöße gegen die Data Loss Prevention-Richtlinien............................................................. 479Personen....................................................................................................................................479Posteingänge............................................................................................................................. 491E-Mails in Quarantäne.............................................................................................................. 495Richtlinien.................................................................................................................................. 495Einstellungen............................................................................................................................. 512Integration von Sophos Email in externe Dienste.....................................................................539

Web-Gateway....................................................................................................................................... 566Dashboard................................................................................................................................. 566Protokolle................................................................................................................................... 567Berichte......................................................................................................................................567Personen....................................................................................................................................567Computer................................................................................................................................... 579Richtlinien.................................................................................................................................. 589Einstellungen............................................................................................................................. 596Geräte schützen........................................................................................................................ 621

Firewall-Verwaltung.............................................................................................................................. 623Dashboard................................................................................................................................. 623Firewalls.....................................................................................................................................624Auftrags-Warteschlange............................................................................................................ 646Dynamische Objekte................................................................................................................. 647Sicherung...................................................................................................................................648

Phish Threat......................................................................................................................................... 651Dashboard................................................................................................................................. 651Berichte......................................................................................................................................652Personen....................................................................................................................................654Kampagnen................................................................................................................................666Einstellungen............................................................................................................................. 673

Cloud Optix...........................................................................................................................................682Kostenlose Testversionen.................................................................................................................... 683

Banner für Testlizenzen............................................................................................................ 684Konto und Lizenzen............................................................................................................................. 685

Kontoinformationen....................................................................................................................685Lizenzen.....................................................................................................................................689

Early Access-Programme.....................................................................................................................691Unterstützte Web-Browser................................................................................................................... 693Sprachen.............................................................................................................................................. 694Weitere Hilfe.........................................................................................................................................696Rechtliche Hinweise............................................................................................................................. 697

(2020/06/08)


1 Über diese HilfeIn dieser Hilfe erfahren Sie, wie Sie alle Funktionen in Sophos Central verwenden.

Wenn Sie die benötigte Hilfe hier nicht finden können, gehen Sie in den Support-Bereich unsererWebsite und suchen Sie dort. Dort finden Sie Knowledgebase-Artikel oder Diskussionen in derSophos Community.

TippSie verwenden Sophos Central noch nicht? Melden Sie sich hier an und wir helfen Ihnen beimEinstieg.

Wenn Ihr Administrator dies eingerichtet hat, können Sie sich mit Ihren Microsoft-Anmeldedatenanmelden. Klicken Sie auf Mit Microsoft anmelden und geben Sie Ihre Microsoft-Anmeldedatenein.

Copyright © Sophos Limited 1

https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login


2 Ihre Lizenz aktivierenWenn Sie eine neue Lizenz kaufen, müssen Sie diese aktivieren.

Führen Sie dies in Sophos Central durch (außer, ein Sophos-Partner führt die Lizenzaktivierung fürSie durch).

Upgrades werden möglicherweise automatisch aktiviert oder Sie müssen sie aktivieren.

HinweisWenn Sie eine Testversion von Sophos Central starten, brauchen Sie Ihre Lizenz noch nicht zuaktivieren. Dies ist erst dann erforderlich, wenn Sie auf eine zahlungspflichtige Lizenz upgraden.

Um eine Lizenz zu aktivieren, gehen Sie folgendermaßen vor.

1. Halten Sie den Lizenzschlüssel aus dem Lizenzplan bereit, den Sie von Sophos per E-Mailerhalten haben.

2. Suchen Sie nach Ihrem Kontonamen oben rechts auf der Bedienoberfläche. Klicken Sie auf denNamen und wählen Sie Lizenzen.

3. Verwenden Sie jetzt können Sie Ihren Lizenzschlüssel.

• Geben Sie im Feld Aktivierungscode anwenden (falls vorhanden) Ihren Schlüssel ein undklicken Sie auf Anwenden.

• Wenn ein Link Lizenzschlüssel anwenden angezeigt wird, klicken Sie darauf. Geben Sie denSchlüssel ein und klicken Sie auf Anwenden.

4. Wenn Ihr Konto bereits über Lizenzen für die im Lizenzschlüssel enthaltenen Funktionen verfügt,wird ein anderer Dialog angezeigt. Hier können Sie festlegen, wie Sie Ihre neuen Lizenzenverwenden möchten.

• Bei Auswahl von Erneuern beginnt die Laufzeit der neuen Lizenz bei Ablauf der aktuellenLizenz.

• Über die Option Ändern werden die neuen Lizenzen jetzt gestartet. Wir passen dieLizenzdauer so an, dass alle Ihre Lizenzen zum gleichen Zeitpunkt ablaufen.

Klicken Sie erneut auf Anwenden.

So funktioniert die Option „Ändern“

Ein Kunde bestellt 50 Lizenzen für ein Jahr. Nach sechs Monaten bestellt er weitere 50 Lizenzen fürein Jahr.

Wählt der Kunde die Option Ändern, verfahren wir wie folgt:

• Die neuen Lizenzen werden zu den vorhandenen hinzugefügt. Der Kunde verfügt jetzt über 100Lizenzen.

• Wir fügen die verbleibende Laufzeit der älteren Lizenzen (50 x 6 Monate = 300) zur Laufzeit derneuen Lizenzen (50 x 12 Monate = 600) hinzu. Insgesamt beträgt die Laufzeit 900 Monate.

• Die Laufzeit wird auf alle 100 Lizenzen verteilt. Die Lizenz jedes Benutzers läuft jetzt 9 Monate abdem Datum der Schlüsseleingabe (das Ablaufdatum wird entsprechend angepasst).

Der Kunde verfügt jetzt über 100 Lizenzen, die in 9 Monaten ablaufen.

2 Copyright © Sophos Limited


In den meisten Fällen wird das neue Ablaufdatum Ihrer vorhandenen Lizenz aktualisiert. Esempfiehlt sich jedoch, das angezeigte Ablaufdatum zu prüfen.



3 ÜbersichtIm Hauptmenü sind die Funktionen aufgeführt, die Ihnen in Sophos Central zur Verfügung stehen.Diese sind unter ihren Produktnamen aufgeführt, zum Beispiel Endpoint Protection.

Es gibt auch eine Übersicht der Funktionen aller Ihrer lizenzierten Produkte.

3.1 DashboardDas Dashboard ist die Startseite von Sophos Central und bietet die wichtigsten Informationen aufeinen Blick. Es besteht aus folgenden Bereichen.

Letzte Alarme

Letzte Alarme zeigt die neuesten Warnhinweise an. Zur Information-Warnhinweise dienen nur derInformation und erfordern keine Aktion.

Klicken sie auf Alle Alarme anzeigen um alle Alerts anzuzeigen.

Geräte und Benutzer: Übersicht

Geräte und Benutzer: Übersicht zeigt Details zu Verwendung und Schutz für Benutzer odergeschützte Geräte an. Außerdem wird die Anzahl der nicht geschützten Benutzer oder Geräteangezeigt.

Klicken Sie auf die Registerkarte, um für jeden Gerätetyp oder Benutzer Informationen abzurufen.

Klicken Sie auf Bericht anzeigen, um einen detaillierten Bericht für die ausgewählte Registerkartezu öffnen.

Email Security

Eingehend zeigt die Anzahl der Erkennungen in den folgenden Kategorien an:

• Legitim: Nachrichten, die als sauber klassifiziert und daher übermittelt werden.

• DLP-Richtlinienverstöße: Nachrichten, die gegen die Data Loss Prevention-Richtlinienverstoßen haben.

• Spam: Als Spam klassifizierte Nachrichten.

• Komplexe Bedrohung: Als komplexe Bedrohungen enthaltend klassifizierte Nachrichten.

• Virus: Als Virus-enthaltend klassifizierte Nachrichten.

• Authentifizierungsfehler: Nachrichten, die nicht von DMARC, SPF, oder DKIM authentifiziertwerden konnten.

• Echtzeit-Blocklist: Nachrichten, die aufgrund einer Absender-IP-Adresse auf der Blacklisterkannt wurden.

• Unternehmens-Blocklist: Von einer Adresse, die bereits zu Ihrer Unternehmens-Blocklisthinzugefügt wurde (Inbound erlauben/blockieren), gesendete Nachrichten.



Ausgehend gibt Auskunft über die Gesamtzahl der von Email Security für Ihre geschütztenPostfächer überprüften ausgehenden E-Mails der letzten 30 Tage. Außerdem wird die Anzahl derverarbeiteten legitimen Nachrichten, die Anzahl der erkannten Spam- und Virusnachrichten und dieAnzahl der Nachrichten, die gegen die DLP-Richtlinien verstoßen, angezeigt.

Klicken Sie auf Bericht anzeigen, um den Bericht Nachrichtenübersicht zu öffnen und Details zuden verarbeiteten Nachrichten aufzurufen, siehe Bericht „Nachrichtenübersicht“.

Web Control

Web Control zeigt Statistiken zu Ihrem Web Control-Schutz.

Die Zahlen geben die blockierten Bedrohungen, blockierte Richtlinienverstöße undRichtlinienwarnungen an. Es gibt auch eine Zahl für „Ausgesprochene Richtlinienwarnungen“; diesist die Zahl der Benutzer, die eine Warnung umgangen haben, um eine Webseite zu besuchen.

Klicken Sie auf eine Zahl, um einen detaillierten Bericht zu öffnen.

Übersicht über Web Gateway-Blockierungen

Übersicht über Web Gateway-Blockierungen zeigt Statistiken zu Ihrem Web Gateway-Schutz (nurzu sehen, wenn Sie die Web Gateway-Lizenz besitzen).

Die Zahlen beziehen sich auf blockierte Malware und blockierte Websites.

Klicken Sie auf eine Zahl, um einen detaillierten Bericht zu öffnen.

Zugehörige KonzepteBericht „Nachrichtenübersicht“ (Seite 56)Der Bericht Nachrichtenübersicht enthält Details zu den von Email Gateway für Ihre geschütztenPosteingänge verarbeiteten E-Mails.

3.2 WarnhinweiseAuf der Seite Warnhinweise sind alle Warnhinweise aufgeführt, die eine Maßnahme erfordern.

EinschränkungEinige Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Warnhinweise, die automatisch behoben werden, werden nicht angezeigt. Um alle Ereignisseanzuzeigen, gehen Sie zu Protokolle & Berichte > Ereignisse.

HinweisDie Uhrzeit des Warnhinweises wird nicht aktualisiert, wenn dasselbe Ereignis wiederholt auftritt.

Auf der Seite Warnhinweise können Sie:

• Warnhinweise gruppieren.

• Warnhinweise filtern.

• Maßnahmen zur Behebung von Warnhinweisen ergreifen.

• Die Häufigkeit von E-Mail-Warnhinweisen ändern.



Informationen zu den verschiedenen Warnhinweistypen finden Sie auf den anderen Hilfeseiten indiesem Abschnitt.

HinweisWenn Sie Intercept X Advanced with EDR verwenden, können Sie Bedrohungen inBedrohungsfällen untersuchen, blockieren und bereinigen.

Warnhinweise gruppieren

Sie können alle Warnhinweise für eine spezielle Bedrohung oder ein bestimmtes Ereignis untereinem einzelnen Eintrag in der Liste gruppieren. Dies erleichtert die Verwaltung von Warnhinweisen.

Aktivieren Sie Gruppe (oben rechts auf der Seite).

Um die Anzahl der Warnhinweise für die einzelnen Gruppeneinträge anzuzeigen, schauen Sie in derSpalte Anzahl nach.

Um alle Warnhinweise in einer Gruppe anzuzeigen, klicken Sie auf den Aufklapp-Pfeil rechts.

Warnhinweise filtern

Um Warnhinweise mit einer speziellen Priorität anzuzeigen, klicken Sie auf die Zahlen für Alarmemit hoher Einstufung, Alarme mit mittlerer Einstufung oder Alarme mit niedriger Einstufungoben auf der Seite.

Um Warnhinweise für ein spezielles Produkt oder einen bestimmten Bedrohungstyp anzuzeigen,verwenden Sie die Dropdown-Filter über der Liste der Warnhinweise.

Maßnahmen zur Behebung von Warnhinweisen ergreifen

Sie können bei Warnhinweisen Maßnahmen ergreifen.

Um bei einem einzelnen Warnhinweis Maßnahmen zu ergreifen, klicken Sie auf den Dropdown-Pfeil neben dem Warnhinweis, um dessen Details zu öffnen. Klicken Sie unter Aktionen auf einenAktionslink (sofern verfügbar).

Werden Gruppen von Warnhinweisen angezeigt, klicken Sie auf eine Aktionsschaltfläche (sofernverfügbar) neben der Gruppe in der Liste.

HinweisWenn Sie eine Anwendung erlauben möchten, die Sophos Deep Learning als Malware meldet, tunSie dies auf der Seite Ereignisse.

Je nach Art des Warnhinweises sind folgende Maßnahmen verfügbar:

• Als anerkannt markieren: Klicken Sie darauf, um einen Warnhinweis von der Liste zu entfernen.Der Warnhinweis wird dann nicht mehr angezeigt.

Dadurch werden die Bedrohungen nicht behoben und die Informationen zur Bedrohung werdennicht aus dem Quarantäne-Manager auf dem Computer oder Server entfernt.

• Als behoben markieren: Wählen Sie diese Option, wenn die Bedrohung bereits auf demEndpoint-Computer oder Server behoben worden ist. Hiermit wird der Warnhinweis aus der Listein Sophos Central entfernt und die Bedrohungsdetails werden aus dem Quarantäne-Manager aufdem Computer oder Server gelöscht.



Mit dieser Aktion werden die Bedrohungen nicht behoben.

Diese Aktion ist nur für Windows Endpoint-Computer oder Server verfügbar.

• Bereinigung : Klicken Sie hier, um Ransomware von einem Server zu entfernen.

• Endpoint Protection neu installieren: Klicken Sie auf diese Option, um zur Seite Geräteschützen zu gelangen, wo Sie die Sophos Agent-Software herunterladen können.

• Support kontaktieren: Klicken Sie hier, um Hilfestellung zu erhalten. Diese Aktion ist verfügbar,wenn Sie Hilfe benötigen, zum Beispiel wenn die Bereinigung von Malware fehlschlägt.

• PUA bereinigen: Mit dieser Maßnahme können Sie erkannte potentiell unerwünschteAnwendungen (PUA) entfernen.

Diese Maßnahme ist nur für Computer verfügbar.

Eventuell ist diese Maßnahme nicht verfügbar, wenn die PUA in einem gemeinsam genutztenNetzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos Endpoint Protection-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt. WeitereInformationen zum Umgang mit PUAs.

• PUA autorisieren : Mit dieser Maßnahme können Sie eine potentiell unerwünschte Anwendung(PUA) genehmigen und auf allen Computern ausführen. Dies ist zum Beispiel interessant, wennSie die Anwendung als nützlich erachten.

Diese Maßnahme ist nur für Computer verfügbar.

Häufigkeit von E-Mail-Warnhinweisen ändern

Sie können die Häufigkeit ändern, in der ein Warnhinweistyp gesendet wird.

Klicken Sie auf den Dropdown-Pfeil neben einem Warnhinweis, um dessen Details zu öffnen.Wählen Sie unter E-Mail-Warnhinweis die Häufigkeit für den Versand dieses Warnhinweistyps aus.

Diese Einstellung wird zu den Ausnahmen in Ihren Einstellungen für E-Mail-Warnhinweisehinzugefügt. Sie können dort auch die Einstellung bearbeiten.

Zugehörige KonzepteHinweise zum Umgang mit Bedrohungen (Seite 13)Bedrohungsfälle (Seite 22)Unter Bedrohungsfälle können Sie Malware-Angriffe untersuchen und bereinigen.

Erlaubte Anwendungen (Seite 142)Warnhinweise von Threat Protection (Seite 7)Warnhinweise bezüglich der Installation, Aktualisierung und Compliance (Seite 11)Ereignisbericht (Seite 36)E-Mail-Benachrichtigungen konfigurieren (Seite 134)Sie können festlegen, wie Administratoren E-Mail-Warnhinweise erhalten sollen.

3.2.1 Warnhinweise von Threat Protection

Es gibt die folgenden Typen von Warnhinweisen beim Schutz vor Bedrohungen.

Für weitere Informationen zu einer Bedrohung und für den richtigen Umgang mit dieser klicken Sieauf den Namen im Warnhinweis.



Oder gehen Sie auf der Website von Sophos auf die Seite Bedrohungsanalyse. Klicken Sie unterBedrohungsanalyse durchsuchen auf den Link des Bedrohungstyps und führen Sie eine Suchenach der Bedrohung aus oder sehen in der Liste der zuletzt aufgetretenen Elemente nach.

Eventuell werden Malware-Funde in der Ereignisliste als ML/PE-A angezeigt. Weitere Informationenhierzu finden Sie im Support-Artikel 127331.

Hoch

Echtzeit-Schutz deaktiviert

Der Echtzeit-Schutz wurde auf einem Computer für länger als 2,5 Stunden deaktiviert. Der Echtzeit-Schutz sollte stets eingeschaltet sein. Der Sophos Support rät Ihnen zur Durchführung einerUntersuchung eventuell, den Schutz für einen kurzen Zeitraum zu deaktivieren.

Malware nicht entfernt

Es kann passieren, dass manche der gefundenen Malware-Programme nach 24 Stunden nichtentfernt wurden, obwohl die automatische Bereinigung verfügbar ist. Die Malware wurde vermutlichüber einen Scan erkannt, für den keine automatische Bereinigung zur Verfügung steht, zumBeispiel bei On-Demand-Überprüfungen, die lokal konfiguriert werden. Diese Malware können Siefolgendermaßen behandeln:

• Zentrale Bereinigung durch Planung eines Scans in der Richtlinie (für welche die automatischeBereinigung aktiviert ist).

• Lokale Bereinigung über den Quarantänen-Manager.

Manuelle Bereinigung erforderlich

Manche der gefundenen Malware-Programme können nicht automatisch entfernt werden, da dieautomatische Bereinigung nicht verfügbar ist. Klicken Sie auf „Beschreibung“ im Warnhinweis.Der Link führt Sie zur Sophos Website, auf welcher Sie Informationen dazu finden, wie Sie dieBedrohung entfernen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Ausgeführte Malware nicht bereinigt

Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt,konnte nicht entfernt werden. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr überdie Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen,kontaktieren Sie den Sophos Support.

Bösartiger Traffic erkannt

Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist. KlickenSie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wieSie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Wiederkehrende Infektion

Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneutinfiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nichterkannt wurden. Eine tiefgehende Analyse der Bedrohung kann erforderlich sein. Bitte kontaktierenSie den Sophos Support für Hilfe.

Ransomware erkannt

Wir haben Ransomware entdeckt und deren Zugriff auf das Dateisystem blockiert. Handelt essich bei dem Computer um einen Arbeitsplatzrechner, wird die Ransomware automatisch entfernt.Unternehmen Sie folgende Schritte:



• Falls weiterhin eine Bereinigung erforderlich ist: Binden Sie den Computer vorübergehend in einNetzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie zu dem Computer undführen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Websiteherunter).

Sie können Sophos Clean über Sophos Central auf einem Server ausführen. Sehen Sie hierzuWarnhinweise.

• Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware.Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird SophosCentral sie in Zukunft blockieren.

• Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.

Es wurde Ransomware erkannt, die einen Remote-Rechner angreift

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zuverschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Handelt es sichbei dem Computer um einen Arbeitsplatzrechner und Dokumente vor Ransomware schützen(CryptoGuard) ist aktiviert, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

• Stellen Sie sicher, dass Dokumente vor Ransomware schützen (CryptoGuard) in der SophosCentral-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.

• Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, woer kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen SieSophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).


Mittel

Potenziell unerwünschte Anwendungen (PUA) erkannt

Es wurde Software erkannt, bei der es sich um Adware oder eine andere potentiell unerwünschteAnwendung handeln könnte. Potentiell unerwünschte Anwendungen werden standardmäßigblockiert. Sie können die Anwendung genehmigen, wenn Sie sie als nützlich empfinden, oderbereinigen.

PUAs genehmigen

Sie können eine PUA auf zwei Arten genehmigen, je nachdem, ob Sie sie auf allen oder nur einigenComputern erlauben möchten:

• Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf derSeite auf die Schaltfläche PUA autorisieren. Die PUA wird auf allen Computern erlaubt.

• Fügen Sie die PUA zu den Scan-Ausschlüssen in der Malware-Schutzrichtlinie hinzu. Die PUA wirdnur auf Computern genehmigt, für welche diese Richtlinie gilt.

PUAs bereinigen

Sie können eine PUA auf zwei Arten entfernen:

• Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf derSeite auf die Schaltfläche PUA(s) bereinigen.

• Entfernen Sie die Anwendung im Quarantänen-Manager der Agent-Software des betroffenenComputers.



HinweisEventuell ist die Bereinigung nicht verfügbar, wenn die PUA in einem gemeinsam genutztenNetzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos-Agent nicht über dieBerechtigung zur Bereinigung der Dateien an diesem Ort verfügt.

Potentiell unerwünschte Anwendung nicht bereinigt

Die potentiell unerwünschte Anwendung konnte nicht entfernt werden. Die manuelle Bereinigungkann erforderlich sein. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über dieAnwendung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen,kontaktieren Sie den Sophos Support.

Computer-Scan erforderlich, um Bereinigung abzuschließen

Die Bereinigung von Bedrohungen erfordert einen vollständigen Computer-Scan. Um einenComputer zu scannen, gehen Sie zur Seite Computer, klicken auf den Namen des Computers, umdie Detailseite zu öffnen, und anschließend auf die Schaltfläche Jetzt scannen.

Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan‚Meinen Computer scannen‘ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der SeiteProtokolle und Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sieauf der Seite Warnhinweise einen Warnhinweis.

Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereitsein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühereScan weiter ausgeführt.

Alternativ können Sie den Scan lokal über die Sophos Agent-Software auf dem betroffenenComputer durchführen. Verwenden Sie für Windows die Option Scannen in Sophos Endpoint undfür Mac die Option Diesen Mac scannen in Sophos Anti-Virus.

Neustart erforderlich, um die Bereinigung abzuschließen

Die Bedrohung wurde teilweise entfernt, der Endpoint-Computer muss aber neu gestartet werden,um die Bereinigung abzuschließen.

Remote ausgeführte Ransomware erkannt

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht,Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computersgesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Centralverwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird dieRansomware automatisch entfernt.


• Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.

• Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vorRansomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.



Zugehörige KonzepteWarnhinweise (Seite 5)Auf der Seite Warnhinweise sind alle Warnhinweise aufgeführt, die eine Maßnahme erfordern.



Verwandte InformationenThreat Analysisknowledge base article 127331

3.2.2 Warnhinweise für Device Encryption

Es gibt die folgenden Arten von Warnhinweisen für Device Encryption:

Mittel

• Gerät ist nicht verschlüsselt

Ein Volume ist nicht verschlüsselt, obwohl es verschlüsselt sein sollte. Ein möglicher Grund ist,dass der Benutzer bei Anwendung der Richtlinie die Verschlüsselung auf später verschoben hat.

• Wiederherstellungsschlüssel fehlt

Es konnte kein Wiederherstellungsschlüssel für ein verschlüsseltes Volume in der SophosCentral-Datenbank gefunden werden.

• Device Encryption ist vorübergehend außer Kraft gesetzt

Wenn Sie Device Encryption nicht vorübergehend außer Kraft gesetzt haben, können folgendeGründe die Ursache sein:

— Der Wiederherstellungsschlüssel ist noch nicht in Sophos Central gespeichert. VergewissernSie sich, dass der Endpoint mit dem Internet verbunden ist.

— Vorprovisionierter BitLocker ist noch nicht aktiviert. Benutzer müssen eine PIN, ein Kennwortoder einen USB-Schlüssel festlegen, um BitLocker zu aktivieren.

— Es werden gerade Windows-Updates installiert. Die vorübergehende Außerkaftsetzung vonBitLocker wird nach dem nächsten Neustart automatisch aufgehoben.

3.2.3 Warnhinweise bezüglich der Installation, Aktualisierungund Compliance

Es gibt folgende Warnhinweistypen für Probleme, die die Installation von Sophos-Agents, dieAktualisierung von Sophos-Agents oder die Richtlinien-Compliance beeinflussen:

Hoch

Computer oder Server konnte nicht geschützt werden

Ein Computer hat mit der Installation der Agent-Software begonnen, wurde jedoch eine Stunde langnicht geschützt. Der Installer, der auf dem betroffenen Computer ausgeführt wurde, kann eventuellweitere Informationen zu diesem Fehler liefern.

Mittel

Computer oder Server veraltet

Ein Computer, der in den vergangenen 24 Stunden nicht aktualisiert wurde, hat in den letzten6 Stunden mit Sophos Central kommuniziert und in den darauf folgenden 2 Stunden keine


https://www.sophos.com/en-us/threat-center/threat-analyses.aspxhttps://community.sophos.com/kb/en-us/127331


Aktualisierung durchgeführt. In der Regel versucht der Computer, ungefähr 5 Minuten nach Start undanschließend alle 60 Minuten Aktualisierungen durchzuführen. Wenn die erneute Anwendung derRichtlinie mehrere Male fehlschlägt, kann dies eventuell an einem schwerwiegenderen Problemenliegen. In diesen Fällen kann eine erneute Installation das Problem eventuell lösen.

Neustart erforderlich

Um eine Aktualisierung der Agent-Software abzuschließen, ist der Neustart des Computerserforderlich, jedoch wurde der Computer bereits seit zwei Wochen nicht mehr neu gestartet.Manchmal ist es nach Installation/Aktualisierung der Agent-Software erforderlich, einen Neustartdurchzuführen, um die Funktionen der neuen/aktualisierten Version der Software vollständig zuaktivieren. Obwohl die Aktualisierung nicht sofort durchgeführt werden muss, sollte sie dennoch sofrüh wie möglich erfolgen.

Abweichend von Richtlinie

Ein Gerät kann aus verschiedenen Gründen von einer Richtlinie abweichen, zum Beispielnach Änderung der Geräteeinstellungen selbst. In diesem Fall wird das System nach zweiStunden der Nichteinhaltung einen Warnhinweis ausgeben und versuchen, die entsprechendeRichtlinie erneut anzuwenden. Wenn das Gerät die Richtlinie wieder erfüllt, wird der Warnhinweisautomatisch gelöscht. Wenn der Versuch mehrere Male fehlschlägt, kann dies eventuell an einemschwerwiegenderen Problemen liegen. In diesen Fällen kann eine erneute Installation das Problemeventuell lösen.

Peripheriegerät erkannt

Ein Wechseldatenträger oder ein Peripheriegerät wurde auf einem Gerät entdeckt, das von SophosCentral überwacht wird.

Erkennung von duplizierten Geräten

Ein dupliziertes Gerät wurde erkannt. Von einem Image geklonte Geräte besitzen die gleicheKennung. Bei duplizierten Kennungen können Verwaltungsprobleme auftreten. Duplizierte Gerätewerden mit einer neuen Kennung erneut registriert.

Weitere Informationen finden Sie im Knowledgebase-Artikel 132029.

Hinweise:

• Computer mit Windows XP/Vista oder Server 2003/2008 werden nicht als Duplikate erkannt. Wennsie jedoch die gleiche ID haben wie ein unterstütztes Betriebssystem (z. B. Windows 10), werdensie als Duplikate erkannt, aber nicht erneut registriert.

• Windows-Server, auf denen die „Server Lockdown“-Funktion installiert ist und die gesperrt sind,werden nicht erneut registriert, wenn sie als Duplikate erkannt werden.

• Die Erkennung von duplizierten Geräten wird nicht in VDI-Umgebungen (z. B: VMware Horizon,Citrix PVS oder Citrix MCS) unterstützt.

Verwandte Informationenknowledge base article 132029

3.2.4 Wireless-Warnhinweise

Anzeigen von von Access Points generierten WLAN-Warnhinweisen.


https://community.sophos.com/kb/en-us/132029


Hoch

Access Point in schlechtem Sicherheitszustand: Die Last auf dem Access Point ist zu hoch. Essind zu viele Geräte verbunden. Überprüfen Sie, ob Sie über genügend Access Points verfügen, umden Bereich abzudecken.

Mittel

Access Point ist offline: Der Access Point hat keine Internetverbindung, keinen Strom oder esist ein Softwarefehler aufgetreten. Versuchen Sie einen Neustart. Durch Neustarts lassen sichSoftwarefehler beheben.

Access Point ist in keinem Netzwerk eingerichtet: Der Access Point ist nicht konfiguriert. Um denAccess Point zu konfigurieren, klicken Sie auf Wireless > Access Points.

Access Point-Befehl fertig: Der Neustart ist abgeschlossen.

Der Neustart des Access Points kann zu den folgenden Warnhinweisen führen:

• Konfiguration des Access Point fehlgeschlagen

• Access Points konnten nicht auf die neue Firmware aktualisiert werden

Wenn das Problem weiterhin besteht, wenden Sie sich an den Support von Sophos. Das Teambenötigt Remote-Zugriff, um das Problem untersuchen zu können. Gehen Sie zu Wireless >Einstellungen > Diagnose > Remote-Login für Access Points für Sophos Support, um Remote-Zugriff zu gewähren.

Niedrig

Access Point wird mit neuer Firmware aktualisiert: Wireless wird für ungefähr 5 Minutendeaktiviert.

Alle Access Points werden mit neuer Firmware aktualisiert: Wireless wird für ungefähr 5Minuten deaktiviert.

Access Point wurde erfolgreich mit neuer Firmware aktualisiert

Alle Access Points wurden erfolgreich aktualisiert

3.2.5 Hinweise zum Umgang mit Bedrohungen

Empfehlungen für den Umgang mit Bedrohungen finden Sie hier:

• Umgang mit Ransomware.

• Umgang mit Exploits.

• Umgang mit Browser-Angriffen.

• Umgang mit Malware, die durch Deep Learning entdeckt wurde.

• Umgang mit Anwendungs-Lockdown-Ereignissen.

• Umgang mit False Positives.

Hilfe zu Malware finden Sie in den Abschnitten zu Malware-Warnhinweisen in Warnhinweise vonThreat Protection.




Umgang mit Ransomware (Seite 14)Umgang mit Exploits (Seite 15)Umgang mit Browser-Angriffen (Seite 16)Umgang mit Malware, die durch Deep Learning entdeckt wurde (Seite 17)Umgang mit Anwendungs-Lockdown-Ereignissen (Seite 17)Umgang mit False Positives (Seite 18)Warnhinweise von Threat Protection (Seite 7)

Umgang mit Ransomware

Was geschieht, wenn wir Ransomware entdecken, und wie sollten Sie vorgehen?

Wenn Sie wissen, dass eine Erkennung ein False Positive ist, siehe Umgang mit False Positives.

Was geschieht, wenn wir Ransomware entdecken?

Wenn wir Ransomware entdecken, geschieht Folgendes:

• Wir prüfen, ob es sich um eine legitime Anwendung wie z. B. ein Produkt für die Datei-/Ordnerverschlüsselung handelt. Falls nicht, verhindern wir deren Ausführung.

• Die Dateien werden wieder in ihren Zustand vor der Änderung versetzt.

• Der Endnutzer wird benachrichtigt.

• Ein Bedrohungsfall wird erzeugt. Das hilft Ihnen bei der Entscheidung, ob zusätzliche Maßnahmenzu ergreifen sind.

• Es wird ein Scan gestartet, um etwaige weitere Malware auf dem Gerät zu identifizieren und zuentfernen.

• Der Sicherheitsstatus des Geräts wird wieder auf „Grün“ gesetzt.

Vorgehensweise wenn Sie „Ransomware erkannt“ sehen

Wenn weiterhin eine Bereinigung erforderlich ist, unternehmen Sie folgende Schritte:

• Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware.Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird SophosCentral sie in Zukunft blockieren.

Hilfe zum Sampleversand finden Sie im Knowledgebase-Artikel 11490.

• Binden Sie den Computer vorübergehend in ein Netzwerk ein, wo er kein Risiko für andereComputer darstellt. Gehen Sie zu dem Computer und führen Sie Sophos Clean aus (sofern nichtinstalliert, laden Sie das Tool auf unserer Website herunter).

Sie können Sophos Clean über Sophos Central auf einem Server ausführen. Sehen Sie hierzuWarnhinweise.




Vorgehensweise wenn Sie „Remote ausgeführte Ransomwareerkannt“ sehen

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht,Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computersgesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Centralverwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird dieRansomware automatisch entfernt.


• Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.

• Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vorRansomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.



Vorgehensweise wenn Sie „Es wurde Ransomware erkannt, die einenRemote-Rechner angreift“ sehen

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zuverschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Handelt es sichbei dem Computer um einen Arbeitsplatzrechner und Dokumente vor Ransomware schützen(CryptoGuard) ist aktiviert, wird die Ransomware automatisch entfernt.


• Stellen Sie sicher, dass Dokumente vor Ransomware schützen (CryptoGuard) in der SophosCentral-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.



Zugehörige KonzepteUmgang mit False Positives (Seite 18)Warnhinweise (Seite 5)Auf der Seite Warnhinweise sind alle Warnhinweise aufgeführt, die eine Maßnahme erfordern.

Verwandte Informationenknowledge base article 11490

Umgang mit Exploits

In diesem Thema erfahren Sie, was Sie mit Exploits umgehen sollen.


https://community.sophos.com/kb/en-us/11490


Wenn Sie wissen, dass eine Erkennung ein False Positive ist, siehe Umgang mit False Positives.

Was geschieht, wenn ein Exploit erkannt wird?

Wenn ein Exploit erkannt wird, geschieht Folgendes:

• Der Exploit wird gestoppt.

• Der Benutzer wird benachrichtigt.

• Es wird ein Scan gestartet, um Bedrohungen zu entfernen.

• Ein Bedrohungsfall wird erzeugt.

Was Sie tun sollten

Gehen Sie zu Bedrohungsanalyse-Center > Bedrohungsfälle und überprüfen Sie die Details desFalls, um herauszufinden, wo der Angriff begonnen hat, wie er sich ausgebreitet hat und welcheProzesse oder Dateien betroffen sind.

Häufig hat ein Benutzer eine Anwendung heruntergeladen oder autorisiert, mit denen ein AngreiferZugriff erlangt hat. Um dies zu verhindern, sollten die Benutzer eine Schulung zum Thema sicheresSurfen erhalten.

Zugehörige KonzepteUmgang mit False Positives (Seite 18)

Umgang mit Browser-Angriffen

Was passiert, wenn wir eine Browser-Bedrohung erkennen?

Wenn ein Angriff erkannt wird, geschieht Folgendes:

• Intercept X warnt den Benutzer und fordert ihn auf, den Browser zu schließen.

• Es wird ein Scan mit Sophos Clean gestartet.


Was Sie tun sollten

Gehen Sie folgendermaßen vor:

• Identifizieren Sie anhand des Bedrohungsfalls die IP- und URL-Verbindung, die mit dem Angriffzusammenhängt.

• Entscheiden Sie, ob diese Verbindung in der Firmen-Firewall blockiert werden soll. (Wenn derAngriff nicht von Ihrem Web-Schutz erkannt wurde, ist er nicht als schädlich klassifiziert.)

• Wenn der Benutzer ein Kennwort eingegeben hat, bitten Sie ihn, dieses zu ändern.

• Hat der Benutzer seine Bank kontaktiert, bitten Sie ihn sicherzustellen, dass keine ungewöhnlicheAktivität auf seinem Konto stattgefunden hat.



Umgang mit Malware, die durch Deep Learning entdeckt wurde

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Malware oderPUAs ohne Rückgriff auf Signaturen.

Malware, die von Deep Learning erkannt wird, wird in den Warnhinweisen mit dem Präfix „ML/“angezeigt.

Erkannte PE-Dateien (Anwendungen, Bibliotheken, Systemdateien) werden isoliert. Sie können dieDateien wiederherstellen und erlauben, sofern sie sicher sind.

Was geschieht, wenn wir Malware entdecken?

Wenn Deep Learning eine Datei als schädlich identifiziert, geschieht Folgendes:

• Wir prüfen, ob die Datei zu einer Liste erlaubter Anwendungen hinzugefügt wurde. (Mithilfe dieserListe können Sie eine Datei von der Überprüfung ausschließen, wenn sie fälschlicherweise alsMalware erkannt wurde.)

• Steht die Datei nicht in einer Liste erlaubter Anwendungen, wird sie als Malware gemeldet undisoliert.


• Der Sicherheitsstatus des Computers wird auf „Grün“ gesetzt, weil die Malware isoliert wurde.

Was Sie tun sollten

Da die Malware isoliert wurde, brauchen Sie normalerweise nichts zu unternehmen.

Deep Learning meldet jedoch mitunter eine legitime Datei als Malware (ein False Positive).Wenn Sie genau wissen, dass die Datei sicher ist, können Sie diese wiederherstellen und derenVerwendung durch Ihre Benutzer wieder erlauben.

Um eine Datei wiederherzustellen und zu erlauben, gehen Sie wie unter Erlaubte Anwendungenbeschrieben vor.

Zugehörige KonzepteErlaubte Anwendungen (Seite 142)

Umgang mit Anwendungs-Lockdown-Ereignissen

Die Funktion „Anwendungs-Lockdown“ stoppt Angriffe, die legitime Funktionen in häufig genutztenAnwendungen missbrauchen, um einen Angriff oder Malware auszuführen.

Was geschieht, wenn wir einen Angriff entdecken?

Wenn eine Anwendung, auf die die Lockdown-Funktion angewendet wurde, ein Verhaltenzeigt, das nicht erlaubt ist, wie z. B. die Installation anderer Software oder die Änderung vonSystemeinstellungen, geschieht Folgendes:

• Intercept X schließt automatisch die Anwendung.

• Der Benutzer wird benachrichtigt.



• Es wird ein Scan mit Sophos Clean gestartet. Dabei werden gegebenenfalls weitere potenzielleMalware-Komponenten identifiziert.


Was Sie tun sollten

Gehen Sie folgendermaßen vor:

• Verwenden Sie den Bedrohungsfall um die Datei oder Aktivität zu identifizieren, die die Ursachedes Angriffs ist.

• Vergewissern Sie sich, dass keine weiteren Maßnahmen erforderlich sind.

Umgang mit False Positives

Unsere Software kann noch unbekannte Bedrohungen erkennen. Es kann jedoch vorkommen, dasseine Anwendung als Malware identifiziert oder ein Exploit gemeldet wird, auch wenn Sie wissen,dass die Anwendung sicher ist. Das ist ein „False Positive“.

Wenn eine False Positive auftritt können Sie verhindern, dass die Software das Element dasnächste Mal wieder als Bedrohung identifiziert, und gegebenenfalls die entfernten Dateienwiederherstellen.

Zugehörige KonzepteErkennung einer Anwendung unterbinden (Seite 18)Erkennung eines Exploit unterbinden (Seite 19)Erkennen von Ransomware unterbinden (Seite 20)

Erkennung einer Anwendung unterbinden

Wenn PE (Portable Executable)-Dateien wie Anwendungen, Bibliotheken und Systemdateienerkannt werden, werden sie isoliert und können wiederhergestellt werden.

Um eine Anwendung zu erlauben, die Sophos erkannt und entfernt hat, gehen Sie wie nachfolgendbeschrieben vor.

• Dadurch wird die Anwendung für alle Computer und Benutzer erlaubt.

• Dies erlaubt den Start der Anwendung, sie wird jedoch bei der Ausführung auf Bedrohungen,Exploits und schädliches Verhalten überprüft.

1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.

2. Suchen Sie nach dem Computer, auf dem die Anwendung erkannt wurde, und klicken Sie darauf,um die Details aufzurufen.

3. Suchen Sie auf der Registerkarte Ereignisse nach dem Erkennungsereignis und klicken Sie aufDetails.

4. Schauen Sie im Dialogfeld Ereignisdetails unter Diese Anwendung erlauben.

5. Wählen Sie die Methode aus, wie Sie die Anwendung erlauben möchten:

• Zertifikat: Das ist die empfohlene Vorgehensweise. Damit werden auch andere Anwendungenmit demselben Zertifikat erlaubt.

• SHA-256: Hiermit wird nur diese Version der Anwendung erlaubt. Das bedeutet, dass dieAnwendung bei einer Aktualisierung möglicherweise erneut erkannt wird.



• Pfad: Die Anwendung wird erlaubt, solange sie am gezeigten Pfad (Speicherort) installiertist. Sie können den Pfad (jetzt oder später) bearbeiten und Variablen verwenden, wenn dieAnwendung auf verschiedenen Computern an unterschiedlichen Speicherorten installiert ist.

6. Klicken Sie auf Zulassen.

Erkennung eines Exploit unterbinden

Wenn ein Exploit erkannt wird, Sie aber der Meinung sind, dass diese Erkennung falsch ist, könnenSie verhindern, dass das Element noch einmal erkannt wird.

Dies wird auf alle Ihre Benutzer und Geräte angewendet.

HinweisBei diesen Anweisungen wird davon ausgegangen, dass Sie Optionen verwenden, die inIhrer Ereignisliste verfügbar sind. Alternativ können Sie Richtlinieneinstellungen oder globaleEinstellungen verwenden. Siehe die anderen Abschnitte auf dieser Seite.

1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer bzw. Server.



4. Suchen Sie unter Ereignisdetails nach Dieses Element nicht mehr erkennen wählen Sie eineOption aus:

• Diese Detection-ID von der Prüfung ausschließen verhindert diese Erkennung in dieserAnwendung.

• Diese Applikation von der Prüfung ausschließen verhindert jegliche Überprüfung aufExploits in dieser Anwendung.

Versuchen Sie zuerst, die Detection-ID auszuschließen, da dies gezielter wirkt. Wenn dieErkennung erneut auftritt, schließen Sie die Anwendung aus.

5. Klicken Sie auf Ausschließen.

Der Ausschluss wir zu einer Liste hinzugefügt.

Detection-ID-Ausschlüsse werden in die globalen Ausschlüsse übernommen.Anwendungsausschlüsse werden in die Ausschlüsse für Exploit-Mitigation übernommen.

Erkennung eines Exploit unterbinden (durch Richtlinieneinstellungen)

Sie können die Erkennung eines Exploits für die Anwendung, in der er entdeckt wurde, unterbinden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob weitere Exploits vorhandensind, die diese Anwendung betreffen.

1. Suchen Sie in den Richtlinien die Threat Detection-Richtlinie, die für die Computer gilt.

2. Klicken Sie unter Scan-Ausschlüsse auf Ausschluss hinzufügen.

3. Wählen Sie im Dropdown-Menü Ausschlusstyp die Option Erkannter Exploit aus.

4. Wählen Sie den Exploit aus und klicken Sie auf Hinzufügen.

Sie können auch eine Richtlinie verwenden, um die Erkennung eines Exploits für einen bestimmtenAnwendungstyp zu unterbinden. Gehen Sie zu der Threat Protection-Richtlinie und deaktivieren SieExploit-Mitigation unter Laufzeitschutz für den Anwendungstyp.



HinweisWir empfehlen, Exploit-Mitigation nicht zu deaktivieren.

Erkennung von Exploits unterbinden (durch Richtlinieneinstellungen)

Sie können die Erkennung aller Exploits für eine Anwendung unterbinden.

Wenn Sie sich für diese Methode entscheiden, wird die Anwendung nicht mehr auf Exploitsüberprüft, aber es findet weiterhin eine Überprüfung auf Ransomware oder Malware statt.

1. Gehen Sie zu Globale Einstellungen > Ausschlüsse für Exploit-Mitigation.

2. Klicken Sie auf Ausschluss hinzufügen.

3. Es öffnet sich ein Dialog. Wählen Sie dort Anwendung.

4. Klicken Sie auf hinzufügen.

Erkennen von Ransomware unterbinden

Wenn ein Exploit erkannt wird, Sie aber der Meinung sind, dass diese Erkennung falsch ist, könnenSie verhindern, dass das Element noch einmal erkannt wird.

Dies wird auf alle Ihre Benutzer und Geräte angewendet.

1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer bzw. Server.



4. Suchen Sie unter Ereignisdetails nach Dieses Element nicht mehr erkennen.

Wählen Sie Diese Detection-ID von der Prüfung ausschließen. Dies verhindert die Erkennungin dieser Anwendung.

5. Klicken Sie auf Ausschließen.

Der Ausschluss wir zur Liste der globalen Ausschlüsse hinzugefügt.

3.3 Bedrohungsanalyse-CenterAuf dem Dashboard können Sie die wichtigsten Informationen auf einen Blick sehen.

Es besteht aus folgenden Bereichen.

Jüngste Bedrohungsfälle

Unter „Bedrohungsfälle“ können Sie Malware-Angriffe untersuchen. Klicken Sie auf einen Fall, umherauszufinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oderDateien betroffen sind.

Klicken Sie auf Alle Bedrohungsfälle anzeigen um alle Bedrohungsfälle anzuzeigen.

Bedrohungsfälle sind nur für Windows-Geräte verfügbar.



Suche nach Bedrohung

Diese Option ist nur verfügbar, wenn Sie Intercept X Advanced with EDR oder Intercept X Advancedwith EDR for Server verwenden.

Suchen Sie nach potenziellen Bedrohungen in Ihrem Netzwerk.

Sie können nach SHA-256-Datei-Hashes, Dateinamen, IP-Adressen oder Domänen (entwedervollständig oder teilweise) oder Befehlszeilen suchen. Typischerweise erhalten Sie dieseSuchinformationen von anderen Sicherheitsprodukten oder Bedrohungsbenachrichtigungsdiensten.

Bei einer Suche nach Bedrohungen finden Sie folgendes:

• Portable-Executable-Dateien (wie Anwendungen, Bibliotheken und Systemdateien) mit einerunsicheren oder schlechten Reputation.

• IP-Adressen oder Domänen, mit denen sich diese Dateien verbunden haben.

• Administrationsprogramme, die ausgeführt wurden. Diese Programme können missbräuchlichverwendet werden.

HinweisSie können die Suche nach Bedrohungen auch aus einem Bedrohungsfall ausführen. Dies zeigtweitere Beispiele für die in diesem Fall identifizierten potenziellen Bedrohungen.

HinweisSuchen nach Befehlszeilen und Admin-Tools sind möglicherweise noch nicht für alle Kundenverfügbar.

Letzte Suchen nach Bedrohungen


Hier werden Suchen nach Bedrohungen angezeigt, die Sie kürzlich ausgeführt und gespeicherthaben. Klicken Sie auf eine Suche, um sie erneut auszuführen, die betroffenen Geräte zu finden unddie entsprechenden Schritte zu ergreifen.

Klicken Sie auf Alle Suchen anzeigen um alle Suchen anzuzeigen.

Top-Bedrohungsindikatoren

Bedrohungsindikatoren sind verdächtige Dateien, die Sophos nicht blockiert hat, die Sie jedochmöglicherweise untersuchen möchten.

Die Liste der Top-Bedrohungsindikatoren zeigt die besonders verbreiteten Bedrohungsindikatorenmit diesen Details:

• Verdächtigkeitsgrad Ebene. Gibt die Wahrscheinlichkeit an, dass die Datei schädlich ist.

• Die Anzahl der betroffenen Geräte.

Um die vollständige Liste der Firewalls anzuzeigen und für weitere Analysen, klicken Sie auf AlleBedrohungsindikatoren anzeigen.



3.3.1 Bedrohungsfälle

Unter Bedrohungsfälle können Sie Malware-Angriffe untersuchen und bereinigen.

Sie können herausfinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesseoder Dateien betroffen sind. Das hilft Ihnen, die Sicherheit zu verbessern.

Wenn Sie eine Intercept X Advanced with EDR oder Intercept X Advanced with EDR for ServerLizenz haben, können Sie auch Folgendes:

• Betroffene Geräte isolieren.

• Nach weiteren Beispielen für die Bedrohung in Ihrem Netzwerk suchen.

• Die Bedrohung bereinigen und blockieren.

Wir erstellen einen Bedrohungsfall für Sie, sobald wir Malware entdecken, die Sie weiteruntersuchen müssen.

HinweisDiese Funktion ist derzeit nur für Windows-Geräten verfügbar.

Hinweise zum Untersuchen und Bereinigen von Bedrohungen

Dies ist ein Überblick, wie Sie normalerweise einen Fall untersuchen. Details zu allen Optionenfinden Sie auf der Bedrohungsfall-Detailseite.

Einige Option sind nur verfügbar, wenn Sie eine Intercept X Advanced with EDR oder Intercept XAdvanced with EDR for Server-Lizenz haben.

1. Klicken Sie im Hauptmenü auf Bedrohungsfälle und dann auf einen Fall.

Dies zeigt die Detailseite zum jeweiligen Fall an.

2. Unter Übersicht können Sie sehen, wo der Angriff gestartet wurde und welche Dateien betroffensein könnten.

3. Sehen Sie sich Empfohlene nächste Schritte an. Sie können die Priorität des Falls ändern undfeststellen, welche Prozesse untersucht werden sollen.

Wenn es sich um einen Fall mit hoher Priorität handelt und Sie Intercept X Advanced with EDRverwenden, können Sie auf Dieses Gerät isolieren klicken. Das betroffene Gerät wird vomNetzwerk isoliert. Sie können das Gerät weiterhin von Sophos Central aus verwalten.

HinweisSie sehen diese Option nicht, wenn sich das Gerät automatisch isoliert hat.

4. Auf der Registerkarte Analysieren wird ein Diagramm angezeigt, das den Fortschritt des Angriffszeigt. Durch Klicken auf Elemente werden weitere Details angezeigt.

5. Klicken Sie auf die Grundursache oder einen anderen Prozess, um die Details anzuzeigen.

6. Um sicherzustellen, dass Sie über die neuesten Analysen von Sophos verfügen, klicken Sie aufAktuellste Daten anfordern.

Dadurch werden Dateien zur Analyse an Sophos gesendet. Wenn wir neue Informationenüber die Reputation und Verbreitung der Datei haben, werden Sie sie in wenigen Minuten hierangezeigt.



EinschränkungWenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR forServer verwenden, sehen Sie eine Analyse mit erweiterten Funktionen, siehe AktuelleBedrohungsdaten. Sie können auch weitere Erkennungen und Bereinigungen durchführen, wiein den folgenden Schritten gezeigt.

7. Klicken Sie auf Nach Element suchen, um nach weiteren Vorkommen der Datei in IhremNetzwerk zu suchen.

Wenn auf der Seite Ergebnisse der Elementsuche weitere Vorkommen der Datei angezeigt,können Sie dort auf Gerät isolieren klicken, um betroffene Geräte zu isolieren.

8. Kehren Sie zur Detailseite für Bedrohungsfälle zurück und sehen Sie sich die neuestenBedrohungsinformationen an.

9. Wenn Sie sicher sind, dass die Datei schädlich ist, klicken Sie auf Entfernen und blockieren.

Dadurch wird das Element auf den Geräten, auf denen es gefunden wurde, bereinigt und aufallen Geräten blockiert.

10. Wenn Sie sicher sind, dass Sie mit der Bedrohung fertig geworden sind, können Sie das Gerät ausder Isolation entfernen (falls erforderlich). Gehen Sie zu Empfohlene nächste Schritte und klickenSie auf Aus der Isolation entfernen.

Wenn Sie mehrere Geräte isoliert haben, gehen Sie zu Einstellungen > Vom Administratorisolierte Geräte und entfernen Sie diese aus der Isolation.

11. Gehen Sie zurück zur Entdeckte Bedrohungsfälle, wählen Sie den Fall aus und klicken Sie aufSchließen.

Die Liste der Bedrohungsfälle

Auf der Seite Entdeckte Bedrohungsfälle werden alle Bedrohungsfälle der letzten 90 Tageaufgelistet.

Diese ist in Tabs für Bedrohungsfälle unterteilt, die wie folgt angelegt wurden:

• Automatisch von Sophos angelegt

• Von einem Sophos Central Admin angelegt

• Vom Sophos Managed Threat Response (MTR)-Team angelegt, wenn Sie eine MTR-Lizenzbesitzen (zurzeit ungenutzt).

Sie können die Fälle nach Status oder Priorität filtern.

Sie können die Suchen verwenden, um die Fälle für einen bestimmten Benutzer, ein bestimmtesGerät oder einen Bedrohungsnamen anzuzeigen (z. B. "Troj/Agent-AJWL").

Für jeden Fall wird in der Liste Folgendes angezeigt:

• Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können diese ändern, wenn Sie denFall aufrufen.

• Erstellt um: Uhrzeit und Datum, wann der Fall angelegt wurde.

• Priorität: Die Priorität wird festgelegt, wenn der Fall angelegt wird. Sie können diese ändern, wennSie den Fall aufrufen.

• Name: Klicken Sie auf den Namen des Bedrohungsfall, um Details des Falls anzuzeigen.

• Erstellt von: Der Sophos Central Admin, der den Fall angelegt hat.



• Benutzer: Der Benutzers, der die Infektion verursacht hat. Klicken Sie auf den Namen desBenutzers, um Details anzuzeigen.

• Gerät: Das Gerät, das die Infektion verursacht hat. Klicken Sie auf den Namen des Geräts, umDetails anzuzeigen.

• Gerätetyp: Der Typ des Geräts, zum Beispiel Computer oder Server.

Sie können auf eine beliebige Spalte klicken, um die Fälle zu sortieren.


Bedrohungsfall-Detailseite (Seite 24)Sie können einen Bedrohungsfall untersuchen, indem Sie zu seiner Detailseite gehen und die dortvorhandenen Analysewerkzeuge verwenden.

Threat Protection-Richtlinie (Seite 219)Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigemNetzwerkdatenverkehr.

Bedrohungsfall-Detailseite

Sie können einen Bedrohungsfall untersuchen, indem Sie zu seiner Detailseite gehen und die dortvorhandenen Analysewerkzeuge verwenden.

Suchen Sie den Bedrohungsfall auf der Seite Entdeckte Bedrohungsfälle. Klicken Sie auf seinenNamen, um eine Zusammenfassung, Details zu den betroffenen Artefakten (Prozesse, Dateien,Schlüssel) und ein Diagramm zu sehen, das die Entwicklung der Bedrohung zeigt.

Einen Überblick über die Vorgehensweise finden Sie unter Hinweise zum Untersuchen undBereinigen von Bedrohungen.

Weitere Informationen zu allen Optionen finden Sie in den Abschnitten auf dieser Seite.

HinweisWelche Optionen angezeigt werden, hängt von Ihrer Lizenz und dem Schweregrad der Bedrohungab.

Übersicht

Die Übersicht gibt Ihnen einen Überblick über die Bedrohung einschließlich dieser Details:

• Grundursache: Wo die Infektion in Ihr System eingedrungen ist.

• Mögliche involvierte Daten: Dateien, die wichtige Daten enthalten könnten. Überprüfen Sie, obDaten verschlüsselt oder gestohlen wurden.

• Wo: Name des Geräts und des Benutzers.

• Wann: Uhrzeit und Datum der Erkennung.

Empfohlene nächste Schritte

im Bereich Empfohlene nächste Schritte wird Folgendes angezeigt:

Priorität: Die Priorität wird automatisch festgelegt. Sie können ihn ändern.



Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können ihn ändern.

HinweisSobald Sie den Status auf In Bearbeitung setzen, können Sie ihn nicht mehr auf Neuzurücksetzen.

Dieses Gerät isolieren: Sie sehen dies, wenn der Fall hohe Priorität hat und Sie Intercept XAdvanced with EDR oder Intercept X Advanced with EDR for Server verwenden.

Gerät scannen: Verwenden Sie diesen Link, um das betroffene Gerät nach Bedrohungen zudurchsuchen.

Analysieren

Die Registerkarte Analysieren zeigt die Ereigniskette bei der Malware-Infektion an.

Im Menü auf der rechten Seite der Registerkarte könne Sie einstellen, wie viele Details Sie sehen:

• Direkten Pfad anzeigen: Zeigt die Kette von direkt involvierten Elementen zwischen derGrundursache und dem Element, bei dem die Infektion entdeckt wurde ("Beacon").

• Vollständiges Diagramm anzeigen: Zeigt Ursache, Beacon, betroffene Artefakte (Anwendungen,Dateien, Schlüssel), den Pfad der Infektion (durch Pfeile angezeigt) und wie die Infektionaufgetreten ist. Diese Option ist voreingestellt.

Verwenden Sie die Kontrollkästchen über dem Diagramm, um die verschiedenen Arten vonArtefakten ein- oder auszublenden.

Um Details eines Elements anzuzeigen, klicken Sie darauf. Dies öffnet ein Detailfeld auf der rechtenSeite des Diagramms.

Falldatensatz

Der Tab Falldatensatz zeigt den Verlauf des Bedrohungsfalls, ab seiner Erstellung durch Sophosoder dem Administrator. Sie können Kommentare veröffentlichen, um ergriffene Aktionen und andererelevante Informationen zu dokumentieren.

Dieses Gerät isolieren


Unter Empfohlene nächste Schritte können Sie das Gerät isolieren, während Sie potenzielleBedrohungen untersuchen.

Sie können das Gerät weiterhin von Sophos Central aus verwalten. Sie können auch weiterhin vonisolierten Geräten Dateien an Sophos zur Analyse senden.

Sie können zudem erlauben, dass einzelne Geräte unter bestimmten Umständen mit anderenGeräten kommunizieren, siehe Scan-Ausschlüsse.

Sie können das Geräte jederzeit aus der Isolation entfernen. Sie sehen die Option Aus derIsolation entfernen unter Empfohlene nächste Schritte.



HinweisSie sehen die Option Dieses Gerät isolieren nicht, wenn sich das Gerät automatisch isoliert hat.Siehe Geräte-Isolierung.

Aktuelle Bedrohungsdaten

Wenn Sie auf ein betroffenes Element klicken, wird ein Detailbereich angezeigt. Wenn jemand dieDatei bereits an Sophos übermittelt hat, werden die neuesten Bedrohungsinformationen angezeigt.

Wenn die Datei noch nicht übermittelt wurde oder Sie möchten wissen, ob aktualisierteInformationen vorhanden sind, klicken Sie auf Aktuellste Daten anfordern.

Hier werden die neuesten Informationen zur globalen Reputation und Verbreitung der Dateiangezeigt.

Wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Serververwenden, finden auf verschiedenen Tabs weitere Informationen, wie folgt:

Prozessdaten

Diese Registerkarte zeigt eine Beurteilung der Reputation des Elements an sagt Ihnen, ob SieNachforschungen anstellen müssen.

Zusammenfassung des Berichts

Dies Registerkarte zeigt die Reputation und Verbreitung der Datei. Außerdem werden dieErgebnisse unserer Analyse des maschinellen Lernens zusammengefasst. Sie geben an, wieverdächtig die Datei ist.

Analyse des maschinellen Lernens

Dies Registerkarte zeigt die Ergebnisse der Analyse des maschinellen Lernens.

Suchen


Klicken Sie auf Suchen, um nach weiteren Vorkommen der Datei Ihrem Netzwerk zu suchen.

Sie können Suchvorgänge auch über die Seite Suchen nach Bedrohungen oder über den BereichSuche nach Bedrohung auf dem Dashboard durchführen.

Entfernen und blockieren


Wenn eine Datei verdächtig ist, können Sie Entfernen und blockieren verwenden.

Dadurch wird die Datei (und die zugehörigen Dateien und Schlüssel) auf jedem Gerät, auf dem siesich bereits befindet, bereinigt. Sie wird auch einer Liste mit blockierten Elementen hinzugefügt,damit sie auf anderen Geräten nicht ausgeführt werden kann.



Artefaktliste

Dies ist eine Liste unterhalb des Diagramms des Malware-Angriffs. Sie zeigt alle betroffenenElemente, z. B. geschäftliche Dateien, Prozesse, Registry-Schlüssel oder IP-Adressen, an.

Sie können eine CSV-Datei mit einer Liste der betroffenen Artefakte exportieren, indem Sie obenrechts auf der Registerkarte auf Als CSV exportieren klicken.

Die Liste gibt die folgende Information:

• Name: Klicken Sie auf den Namen, um nähere Informationen in einem Detailfeld anzuzeigen.

• Typ: Art des Artefakts, wie z. B. geschäftliche Datei oder Registry-Schlüssel.

• Reputation

• Protokollierte Uhrzeit: Uhrzeit und Datum des Zugriffs auf einen Prozess.

• Interaktionen

Forensischen Snapshot erzeugen

Sie können auf dem Gerät einen „forensischen Snapshot“ der Daten erstellen. So rufen Sie Datenaus einem Sophos-Protokoll über die Geräteaktivität ab und speichern sie auf diesem Computer. Siekönnen ihn auch im von Ihnen angegebenen Amazon Web Services (AWS) S3-Bucket speichern.Sie können dann Ihre eigene Analyse durchführen.

Sie benötigen einen Konverter (den wir zur Verfügung stellen), um die Daten lesen zu können.

HinweisSie können auswählen, wie viele Daten Sie in Snapshots speichern möchten und wo siehochgeladen werden sollen. Dazu gehen Sie zu Globale Einstellungen > ForensischeSnapshots. Diese Optionen sind unter Umständen noch nicht für alle Kunden verfügbar.

So erstellen Sie einen Snapshot:

1. Gehen Sie zur Registerkarte Analysieren eines Bedrohungsfalls.

Alternativ können Sie auf der Detailseite des Geräts die Registerkarte Status öffnen.

2. Klicken Sie auf Forensischen Snapshot erzeugen.

3. Führen Sie die Schritte unter Hochladen eines forensischen Snapshots in einen AWS S3-Bucketaus.

Die erstellten Snapshots finden Sie in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Snapshots, die aus Erkennungen generiert wurden, befinden sich in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

HinweisSie müssen Administrator mit Zugriff auf das Manipulationsschutz-Kennwort sein und alsAdministrator eine Eingabeaufforderung ausführen, um auf die gespeicherten Snapshotszuzugreifen.



Zugehörige KonzepteBedrohungsfälle (Seite 22)Unter Bedrohungsfälle können Sie Malware-Angriffe untersuchen und bereinigen.

Threat Protection-Richtlinie (Seite 219)Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigemNetzwerkdatenverkehr.

Analyseergebnisse des maschinellen Lernens (Seite 28)Sie können Dateien an Sophos übermitteln, um eine detaillierte Analyse des maschinellen Lernens zuerhalten.

Blockierte Elemente (Seite 144)Suchen nach Bedrohungen (Seite 32)Sie können nach potenziellen Bedrohungen in Ihrem Netzwerk suchen.

Vom Administrator isolierte Geräte (Seite 149)Forensische Snapshots (Seite 150)Forensische Snapshots rufen Daten aus einem Sophos-Protokoll über die Aktivität des betroffenenComputers ab. Sie können dann Ihre eigene Analyse durchführen.

Zugehörige AufgabenUmwandeln eines forensischen Snapshots (Seite 151)Verwenden Sie das Tool SDR Exporter, um forensische Snapshots umzuwandeln, damit Sie Abfragendarauf ausführen können.

Verwandte InformationenHochladen eines forensischen Snapshots in einen AWS S3-Bucket (Seite 152)Befolgen Sie diese Anweisungen, um einen forensischen Snapshot hochzuladen.

Analyseergebnisse des maschinellen Lernens

Sie können Dateien an Sophos übermitteln, um eine detaillierte Analyse des maschinellen Lernens zuerhalten.

Um Dateien zu übermitteln, gehen Sie zu Bedrohungsfälle, öffnen den entsprechendenBedrohungsfall, wählen die Datei aus und klicken auf Aktuellste Daten anfordern.

Die neuesten Informationen werden auf verschiedenen Registerkarten angezeigt.

Analyse des maschinellen Lernens

Die Registerkarte Analyse des maschinellen Lernens enthält folgende Informationen:

Attribute

Wir vergleichen die Attribute Ihrer Datei mit Millionen von bekannten guten und bekanntenschädlichen Dateien. Die Ergebnisse können Ihnen helfen herauszufinden, ob Ihre Datei eher gutoder schädlich ist.

Code-Ähnlichkeit

Wir lassen Ihre Datei von Machine Learning Engines überprüfen, die feststellen, ob sie mitbekannten guten Dateien oder bekannten schädlichen Dateien übereinstimmt. Die engstenÜbereinstimmungen werden angezeigt.

Je mehr sie mit schädlichen Dateien übereinstimmt und je genauer sie übereinstimmen, destoverdächtiger ist Ihre Datei.

Die angezeigte Liste enthält nur die engsten Übereinstimmungen. Andere Übereinstimmungenwerden für das Ergebnis berücksichtigt und können die Bewertung Ihrer Datei beeinflussen.



Datei/Pfad

Wir vergleichen den Pfad Ihrer Datei mit bekannten guten und bekannten schädlichen Dateien.Wenn der Pfad Ihrer Datei eher dem Pfad bekannter schädlicher Dateien entspricht, ist die Dateieher verdächtig.

Pfad und Dateiname, die zum Vergleich herangezogen werden, stammen entweder von Ihnen (wennSie die neuesten Informationen angefordert haben) oder vom letzten Kunden, der uns eine Dateigesendet hat. Wir verbergen sensible Informationen in den Pfaden anderer Kunden.

Datei-Eigenschaften

Die Registerkarte Datei-Eigenschaften listet die wichtigsten Eigenschaften der Datei auf.

Dateiaufschlüsselung

Auf der Registerkarte Dateiaufschlüsselung werden Details zu Zertifikaten, PE-Dateiabschnittenund PE-Importen aufgeführt.

3.3.2 Live Discover

Mit Live Discover können Sie die von Sophos Central verwalteten Geräte überprüfen, nach Anzeicheneiner Bedrohung suchen oder die Compliance bewerten.

Einleitung

EinschränkungDiese Funktion ist nur verfügbar, wenn Sie dem Early Access-Programm beigetreten sind.

Sie können Live Discover auf zwei Arten verwenden:

• Proaktiv: Sie können Geräte nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden durchsuchen. Solche Anzeichen können ungewöhnliche Änderungenan der Registrierung, fehlgeschlagene Authentifizierungen oder wenn ein Prozess läuft, der nursehr selten ausgeführt wird, sein. Sie können auch die Compliance jedes Gerätes überprüfen. Siekönnen beispielsweise überprüfen, ob Software veraltet ist oder ob Browser sichere Einstellungenverwenden.

• Reaktiv: Sie können Geräte nach Anzeichen einer vermuteten oder bekannten Bedrohungdurchsuchen. Zum Beispiel wenn Sophos Central Sie gewarnt oder ein Benutzer verdächtigesVerhalten auf seinem Gerät gemeldet hat.

Wir stellen Ihnen eine Reihe von Abfragen zur Verfügung, mit denen Sie Ihre Geräte überprüfenkönnen. Sie können sie so verwenden, wie sie sind, oder sie bearbeiten, um ihr Verhalten zu ändern.Sie können auch Ihre eigenen Abfragen erstellen.

Live Discover zeigt die Ergebnisse für jede Abfrage an, die Sie ausführen. Außerdem werdenTelemetrie-Daten angezeigt, die zeigen, wie erfolgreich die Ergebnisse abgerufen wurden. Siekönnen die Ergebnisse und Telemetrie-Daten exportieren.

Wählen Sie zunächst die abzufragenden Geräte aus.



Verwandte InformationenOSQuery reference

Geräte für die Abfrage auswählen

Sie müssen die Computer und Server auswählen, die von Live Discover abgefragt werden sollen.

1. Klicken Sie in Live Discover auf den Pfeil, um Geräte-Kennzeichner zu erweitern.

Verfügbare Geräte zeigt alle Computer und Server an, die von Sophos Central verwaltetwerden. Ausgewählte Geräte zeigt die Untergruppe der verfügbaren Geräte an, die Sie für dieAbfrage ausgewählt haben.

2. Klicken Sie unter Verfügbare Geräte auf Filter anzeigen um die angezeigten Geräte zu filtern.Klicken Sie auf Anwenden.

Bei Text, den Sie in die Filterfelder eingeben, wird die Groß-/Kleinschreibung nicht beachtet undmuss nicht exakt übereinstimmen.

3. Wählen Sie die Geräte aus, die Sie abfragen möchten, und klicken Sie auf Liste derausgewählten Geräte aktualisieren.

4. Wenn Sie die Liste unter Ausgewählte Geräte weiter verfeinern möchten, führen Sie einen oderbeide der folgenden Schritte aus:

• Klicken Sie auf Filter anzeigen. Filtern Sie die ausgewählten Geräte.

• Heben Sie die Auswahl von Geräten auf und klicken Sie auf Liste der ausgewählten Geräteaktualisieren.

Die unter Ausgewählte Geräte ausgewählten Geräte sind jene, die von Live Discover abgefragtwerden.

Abfrage auswählen

Sie können eine vorbereitete Abfrage auswählen, die Live Discover ausführen soll.

Wenn Sie eine neue Abfrage erstellen wollen, lesen Sie Abfrage bearbeiten oder erstellen.

1. Klicken Sie in Live Discover auf den Pfeil, um Anfrage zu erweitern.Es wird eine Liste von Abfragekategorien angezeigt, die Abfragen enthalten, die von Sophosgeschrieben wurden.

2. Klicken Sie auf die Kategorie, die Sie verwenden möchten.Die Liste der Abfragen in dieser Kategorie wird angezeigt. Leistung gibt den durchschnittlichenEinfluss der Abfrage auf die Leistung jedes Gerätes an. Der Wert basiert auf der letztenVerwendung der Abfrage. Beispielsweise hat eine Abfrage, die schnell ausgeführt wird und wenigDaten generiert, wenig Auswirkungen und wird mit Hervorragend bewertet.

3. Wenn in dieser Kategorie viele Abfragen vorhanden sind, filtern oder durchsuchen Sie dieAbfragen, wenn Sie die Liste kürzen möchten.

4. Klicken Sie auf die Abfrage, die Sie ausführen möchten.

Die Abfrage wird angezeigt, einschließlich der unterstützten Betriebssysteme, Leistungsdaten unddes Osquery-Codes für die Abfrage.

Wenn Sie die Abfrage ausgewählt haben, können Sie sie ausführen. Wenn Sie sie zuerst bearbeitenmöchten, lesen Sie Abfrage bearbeiten oder erstellen.

Abfrage bearbeiten oder erstellen

Wenn Sie wollen, können Sie die ausgewählte Abfrage bearbeiten, um ihr Verhalten zu ändern odersie können eine neue erstellen.


https://docs.sophos.com/central/references/LiveDiscoverSchema.pdf


Die Abfrage wird in Osquery geschrieben, das grundlegende SQL-Befehle (Structured QueryLanguage) verwendet. Sie müssen mit Osquery oder SQL vertraut sein, um die Abfrage bearbeitenzu können.

1. Führen Sie in Live Discover bei aufgeklapptem Feld Anfrage einen der folgenden Schritte aus:

• Um eine Abfrage zu bearbeiten, stellen Sie sicher, dass Sie sie ausgewählt haben. Klicken Siedann auf Bearbeiten.

• Um eine Abfrage zu erstellen, stellen Sie sicher, dass Sie die Liste der Abfragekategorienanzeigen. Klicken Sie dann auf Neue Abfrage erstellen.

2. Geben Sie einen Namen für die Abfrage ein.

3. Geben Sie die Kategorie, in der die Abfrage aufgelistet werden soll, die Beschreibung und dieBetriebssysteme, auf denen sie ausgeführt werden kann, ein.

4. Geben Sie in das Feld SQL die Änderungen ein, die Sie an der vorhandenen Abfrage vornehmenmöchten, oder geben Sie die neue Abfrage ein.

Eine Abfrage muss mindestens 15 Zeichen enthalten, damit sie auf den ausgewählten Gerätenausgeführt werden kann.

Für Informationen zu den verfügbaren Tabellen und Daten, siehe OSQuery-Referenz (englisch).

5. Sie können der Abfrage eine Variable hinzufügen und ihr einen Wert zuweisen. Sie können denWert dann beispielsweise in einer bedingten Anweisungen verwenden. Verfahren Sie wie folgt:

a) Stellen Sie sicher, dass der Variableneditor erweitert ist.

b) Klicken Sie auf + Variable hinzufügen.

c) Geben Sie einen Namen für die Variable ein. Während der Eingabe wird Name der SQL-Variable automatisch ausgefüllt.

Sie können im Namen Leerzeichen aber keine Dollar-Symbole verwenden.

d) Geben Sie den Variablentyp und den Wert an, der bei der Ausführung der Abfrage verwendetwerden soll.

e) Geben Sie im Feld SQL den Namen der SQL-Variable ein, einschließlich der Dollar-Symbole,wo Sie sie verwenden möchten.

Wenn Sie beispielsweise Dateipfad als Variablennamen eingeben, wird Name der SQL-Variable zu $$Dateipfad$$. Geben Sie also $$Dateipfad$$ in das Feld SQL ein:

SELECT * FROM processesWHERE filepath = $$Dateipfad$$

6. Klicken Sie auf Speichern.Die Abfrage wird in der von Ihnen angegebenen Kategorie gespeichert.

Wenn Sie die Bearbeitung oder Erstellung der Abfrage abgeschlossen haben, können Sie sieausführen.

Abfrage ausführen

Führen Sie die von Ihnen ausgewählte oder erstellte Abfrage auf den von Ihnen ausgewählten Gerätenaus.

Klicken Sie in Live Discover bei aufgeklapptem Feld Anfrage auf Abfrage ausführen.Die Abfrageergebnisse werden unterhalb des Abfragefelds angezeigt. Dies sind die Elemente, die dieAbfrage auf den Geräten erkannt hat. Sie können die Ergebnisse in eine CSV-Datei exportieren.



Die Telemetrie-Daten werden unter den Abfrageerg

Documents

Sophos Central Admindocs.sophos.com/central/Customer/help/de-de/PDF/sc_customer_h.p… · Sophos Central Admin 1 Über diese Hilfe In dieser Hilfe erfahren Sie, wie Sie alle Funktionen