McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch. (McAfee epolicy Orchestrator)

Transkript

1 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch (McAfee epolicy Orchestrator)

2 COPYRIGHT Copyright 2018 McAfee LLC MARKENZUORDNUNGEN McAfee und das McAfee Logo, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sind Marken der McAfee LLC oder seiner Tochtergesellschaften in den USA und anderen Ländern. Andere Marken sind Eigentum der jeweiligen Inhaber. LIZENZINFORMATIONEN Lizenzvertrag HINWEIS AN ALLE BENUTZER: LESEN SIE SORGFÄLTIG DEN ZU DER VON IHNEN ERWORBENEN LIZENZ JEWEILS ZUGEHÖRIGEN RECHTSGÜLTIGEN VERTRAG, IN DEM DIE ALLGEMEINEN GESCHÄFTSBEDINGUNGEN FÜR DIE NUTZUNG DER LIZENZIERTEN SOFTWARE DARGELEGT SIND. DIE ART VON LIZENZ, DIE SIE ERWORBEN HABEN, ENTNEHMEN SIE DER VERKAUFSLIZENZGEWÄHRUNG SOWIE SONSTIGEN DAMIT ZUSAMMENHÄNGENDEN LIZENZGEWÄHRUNGEN ODER DEN BESTELLUNGEN, DIE SIE ZUSAMMEN MIT IHREM SOFTWAREPAKET ODER SEPARAT ALS TEIL IHRES KAUFES ERHALTEN HABEN (IN FORM EINER BROSCHÜRE, EINER DATEI AUF DER PRODUKT-CD ODER EINER DATEI AUF DER WEBSITE, VON DER SIE DAS SOFTWAREPAKET HERUNTERGELADEN HABEN). WENN SIE DEN IM VERTRAG DARGELEGTEN BESTIMMUNGEN NICHT ZUSTIMMEN, DÜRFEN SIE DIE SOFTWARE NICHT INSTALLIEREN. SOFERN DIES ERFORDERLICH IST, DÜRFEN SIE DAS PRODUKT AN MCAFEE ODER DIE VERKAUFSSTELLE ZURÜCKGEBEN UND ERHALTEN EINE VOLLE RÜCKERSTATTUNG. 2 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

3 Inhaltsverzeichnis 1 Produktübersicht 5 Überblick über Endpoint Security Funktionsweise von Endpoint Security Übersicht über das Modul Adaptiver Bedrohungsschutz Wichtigste Funktionen des Moduls Adaptiver Bedrohungsschutz Funktionsweise des Moduls Adaptiver Bedrohungsschutz Funktionsübersicht Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen Bestimmung einer Reputation Funktionsweise von Inhaltsdateien Überwachen von Aktivitäten mit Real Protect-Scans Funktionsweise der dynamischen Anwendungsbeschränkung Verwenden des Moduls Adaptiver Bedrohungsschutz in Ihrer Umgebung Feststellen der Dateiverbreitung im Beobachtungsmodus Überwachen und Vornehmen von Anpassungen Übermitteln von Dateien zur weiteren Analyse Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo Verwenden von Berechtigungssätzen Server-Einstellungen und das Modul Adaptiver Bedrohungsschutz Konfigurieren des Moduls Adaptiver Bedrohungsschutz 29 Richtlinien und Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung Konfigurieren der von McAfee definierten Einschlussregeln Bewährte Methode: Optimieren der dynamischen Anwendungsbeschränkung Isolierte Anwendungen über McAfee epo anzeigen Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden Zulassen der normalen Ausführung eingeschlossener Anwendungen Konfigurieren des Moduls Adaptiver Bedrohungsschutz Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz Verwalten des Moduls Adaptiver Bedrohungsschutz 37 Handhabung von neuen False-Positives mit Extra.DAT-Dateien Herunterladen und Bereitstellen einer EXTRA.DAT-Datei in Client-Systemen über McAfee epo Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Überprüfen der letzten Ereignisse auf Bedrohungen Überprüfung der Details zu den letzten Bedrohungsereignissen Reagieren auf Ereignisse Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz Server-Tasks und das Modul Adaptiver Bedrohungsschutz McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 3

4 Inhaltsverzeichnis Zusammengefasste System- oder Ereignisdaten für Endpoint Security Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz Verwenden des Moduls Adaptiver Bedrohungsschutz auf einem Client-System 49 Reagieren auf eine Aufforderung bei Datei-Reputation Deaktivieren von Endpoint Security-Scannern über die McAfee-Taskleiste Überprüfen des Verbindungsstatus Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System 53 Laden einer EXTRA.DAT-Datei auf einem Client-System Dynamisches Einschließen von Anwendungen Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung auf einem Client-System Konfigurieren der von McAfee definierten Einschlussregeln auf einem Client-System Verwalten eingeschlossener Anwendungen auf einem Client-System Verhindern des Einschlusses vertrauenswürdiger Programme durch die dynamische Anwendungsbeschränkung auf einem Client-System Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Überwachen der Aktivitäten des Moduls Adaptiver Bedrohungsschutz auf einem Client- System 61 Überprüfung des Ereignisprotokolls auf neueste Aktivität Namen und Speicherorte von Protokolldateien des Moduls Adaptiver Bedrohungsschutz McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

5 1 Produktübersicht 1 Inhalt Überblick über Endpoint Security Funktionsweise von Endpoint Security Übersicht über das Modul Adaptiver Bedrohungsschutz Wichtigste Funktionen des Moduls Adaptiver Bedrohungsschutz Funktionsweise des Moduls Adaptiver Bedrohungsschutz Funktionsübersicht Verwenden des Moduls Adaptiver Bedrohungsschutz in Ihrer Umgebung Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo Überblick über Endpoint Security McAfee Endpoint Security ist eine integrierte, erweiterbare Sicherheitslösung, mit der Server, Computersysteme, Laptops und Tablets vor bekannten und unbekannten Bedrohungen geschützt werden. Zu diesen Bedrohungen gehören Malware, verdächtige Kommunikation, unsichere Websites und heruntergeladene Dateien. Endpoint Security ermöglicht die Echtzeit-Kommunikation zwischen mehreren Abwehrtechnologien, um Bedrohungen zu analysieren und davor zu schützen. Endpoint Security umfasst die folgenden Sicherheitsmodule: Bedrohungsschutz: Mit diesem Modul können Sie verhindern, dass Bedrohungen auf Systeme zugreifen, Dateien automatisch beim Zugriff scannen und gezielte Scans nach Malware auf Client-Systemen durchführen. Firewall: Mit diesem Modul überwachen Sie die Kommunikation zwischen dem Computer und Ressourcen im Netzwerk und Internet. Mit dem Modul werden außerdem verdächtige Kommunikationsvorgänge abgefangen. Webkontrolle: Mit diesem Modul überwachen Sie Websuchen und Browsing-Aktivitäten auf Client-Systemen und blockieren Websites und Downloads basierend auf Sicherheitsbewertungen und -inhalten. Adaptiver Bedrohungsschutz: Mit diesem Modul analysieren Sie Inhalte aus Ihrem Unternehmen und entscheiden, basierend auf Datei-Reputation, Regeln und Reputationsschwellenwerten, wie reagiert werden soll. Das Modul Adaptiver Bedrohungsschutz ist ein optionales Endpoint Security-Modul. Das Modul Allgemeingültig bietet Einstellungen für allgemeine Funktionen wie die Benutzeroberflächensicherheit und die Protokollierung. Dieses Modul wird automatisch bei Installation eines anderen Moduls installiert. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 5

6 1 Produktübersicht Funktionsweise von Endpoint Security Alle Module sind in einer einzigen Endpoint Security-Benutzeroberfläche auf dem Client-System integriert. Sie können alle Module gemeinsam und unabhängig voneinander nutzen, um mehrere Sicherheitsebenen bereitzustellen. Funktionsweise von Endpoint Security auf Seite 6 Übersicht über das Modul Adaptiver Bedrohungsschutz auf Seite 8 Funktionsweise von Endpoint Security Endpoint Security ermöglicht das Abfangen von Bedrohungen, das Überwachen des allgemeinen Systemzustands und das Melden von Erkennungs- und Statusinformationen. Zur Durchführung dieser Tasks wird auf jedem System Client-Software installiert. Normalerweise installieren Sie ein oder mehrere Endpoint Security-Module auf Client-Systemen, verwalten Erkennungen und konfigurieren Einstellungen, mit denen die Funktionsweise der Produktfunktionen festgelegt wird. McAfee epo Sie verwenden McAfee epolicy Orchestrator (McAfee epo ), um Endpoint Security-Module auf Client-Systemen bereitzustellen und zu verwalten. Jedes Modul umfasst eine Erweiterung und ein Software-Paket, die auf dem McAfee epo-server installiert werden. Dann wird die Software über McAfee epo auf Client-Systemen bereitgestellt. Mithilfe von McAfee Agent erfolgt die Kommunikation zwischen der Client-Software und McAfee epo für die Richtlinienkonfiguration und -erzwingung, Produktaktualisierungen und die Berichterstellung. Client-Module Systeme werden mit regelmäßigen Aktualisierungen, kontinuierlicher Überwachung und detaillierten Berichten durch die Client-Software geschützt. Daten über Erkennungen auf Ihren Computern werden über die Software an den McAfee epo-server gesendet. Anhand dieser Daten werden Berichte über Erkennungen und Sicherheitsprobleme auf Ihrem Computer erstellt. TIE-Server und Data Exchange Layer Im Endpoint Security-Framework werden McAfee Threat Intelligence Exchange (TIE) und McAfee Data Exchange Layer (DXL) integriert, wenn das Modul Adaptiver Bedrohungsschutz verwendet wird. Mit diesen optionalen Produkten können Sie die Datei-Reputation lokal steuern und die Informationen unmittelbar in Ihrer gesamten Umgebung freigeben. Wenn der TIE-Server nicht verfügbar ist, erfolgen Abfragen nach Reputationsinformationen durch das Modul Adaptiver Bedrohungsschutz an McAfee Global Threat Intelligence (McAfee GTI). McAfee GTI Über die Module Bedrohungsschutz, Firewall, Webkontrolle und Adaptiver Bedrohungsschutz werden Reputationsinformationen von McAfee GTI abgefragt, um festzulegen, wie Dateien auf dem Client-System verarbeitet werden. 6 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

7 Produktübersicht Funktionsweise von Endpoint Security 1 McAfee Labs Über die Client-Software wird mit McAfee Labs kommuniziert, um Aktualisierungen für Inhaltsdateien und Module abzurufen. McAfee Labs veröffentlicht regelmäßig aktualisierte Inhaltspakete. Abbildung 1-1 Funktionsweise Aktualisieren des Schutzes Durch regelmäßige Aktualisierungen von Endpoint Security werden Ihre Computer vor den neuesten Bedrohungen geschützt. Zum Durchführen von Aktualisierungen wird über die Client-Software eine Verbindung mit einem lokalen oder Remote-McAfee epo-server oder direkt mit einer Site im Internet hergestellt. Folgendes wird mit Endpoint Security überprüft: Aktualisierungen an den Inhaltsdateien, mit denen Bedrohungen erkannt werden. Inhaltsdateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionen werden aktualisiert, wenn neue Bedrohungen erkannt werden. Upgrades für Software-Komponenten wie Patches und HotFixes. Übersicht über das Modul Adaptiver Bedrohungsschutz auf Seite 8 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 7

8 1 Produktübersicht Übersicht über das Modul Adaptiver Bedrohungsschutz Übersicht über das Modul Adaptiver Bedrohungsschutz McAfee Endpoint Security Adaptiver Bedrohungsschutz (ATP), einem optionalen Modul von Endpoint Security, werden Inhalte aus Ihrem Unternehmen untersucht. Dann wird auf der Basis der Datei-Reputation sowie von Regeln und Reputationsschwellenwerten entschieden, welche Aktion ausgeführt wird. Der Adaptiver Bedrohungsschutz bietet die folgenden Vorteile: Schnelle Erkennung von Sicherheitsbedrohungen sowie Malware und entsprechender Schutz Identifizieren kompromittierter Systeme oder Geräte und der Ausbreitungswege in der Umgebung Sofortiges Isolieren, Blockieren oder Säubern bestimmter Dateien und Zertifikate basierend auf den jeweiligen Bedrohungsreputationen und Ihren Risikokriterien Integration in Real Protect-Scans zur Durchführung einer automatisierten Reputationsanalyse in der Cloud und auf Client-Systemen Echtzeitintegration in McAfee Advanced Threat Defense und McAfee GTI, um detaillierte Bewertungen und Daten zur Klassifizierung von Malware bereitzustellen. Dank dieser Integration können Sie auf Bedrohungen reagieren und die Informationen in der gesamten Umgebung nutzen. Wenn Sie zusätzliche Quellen und Funktionen für Bedrohungsabwehrdaten benötigen, stellen Sie den McAfee Threat Intelligence Exchange (TIE)-Server bereit. Informationen können Sie bei Ihrem Fachhändler oder dem zuständigen Vertriebsmitarbeiter erfragen. Optionale Komponenten Das Modul Adaptiver Bedrohungsschutz kann auch in die folgenden optionalen Komponenten integriert werden: TIE-Server: Ein Server, auf dem Informationen zu Datei- und Zertifikat-Reputationen gespeichert und dann an andere Systeme weitergegeben werden. Data Exchange Layer: Clients und Broker, durch die bidirektionale Kommunikation zwischen dem Modul Adaptiver Bedrohungsschutz auf dem verwalteten System und dem TIE-Server ermöglicht wird. Data Exchange Layer ist optional und nur für die Kommunikation mit dem TIE-Server erforderlich. Diese Komponenten werden als McAfee epo-erweiterungen installiert und enthalten mehrere neue Funktionen und Berichte. Überblick über Endpoint Security auf Seite 5 8 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

9 Produktübersicht Wichtigste Funktionen des Moduls Adaptiver Bedrohungsschutz 1 Wichtigste Funktionen des Moduls Adaptiver Bedrohungsschutz Mit den wichtigsten Funktionen des Moduls Adaptiver Bedrohungsschutz können Sie das Unternehmen vor Dateien mit unbekannter Reputation schützen, bösartige Muster erkennen und False-Positives korrigieren. Schützen Schützen Sie das Unternehmen, indem Sie Dateien mit unbekannter Reputation mithilfe dieser Funktionen des Moduls Adaptiver Bedrohungsschutz blockieren oder einschließen: Reputationsbasierte Behandlung von Dateien: Sie werden vom Modul Adaptiver Bedrohungsschutz gewarnt, wenn in der Umgebung eine unbekannte Datei auftritt. Anstatt die Dateiinformationen zur Analyse an McAfee zu senden, können Sie die Datei über das Modul Adaptiver Bedrohungsschutz sofort blockieren. Integration in den TIE-Server: Wenn dies verfügbar ist, erhalten Sie vom TIE-Server Informationen dazu, auf wie vielen Systemen die Datei ausgeführt wurde. Sie können mithilfe von Advanced Threat Defense bestimmen, ob die Datei eine Bedrohung darstellt. Dynamische Anwendungsbeschränkung: Mit dieser Funktion können unbekannte Dateien in einem Container ausgeführt werden, sodass nur in begrenztem Umfang Aktionen möglich sind. Wenn eine Datei mit unbekannter Reputation in einem Unternehmen erstmals verwendet wird, kann die Datei durch das Modul Adaptiver Bedrohungsschutz in einem Container ausgeführt werden. Mithilfe von Einschlussregeln wird definiert, welche Aktionen von der eingeschlossenen Anwendung nicht ausgeführt werden dürfen. Durch die dynamische Anwendungsbeschränkung werden außerdem Prozesse eingeschlossen, von denen PE-Dateien (portierbare ausführbare Dateien) und DLLs (Dynamic Link Libraries) geladen werden, durch die die Prozess-Reputation verringert wird. Erkennen Mit den folgenden Funktionen des Moduls Adaptiver Bedrohungsschutz können Sie bösartige Muster und Malware im Arbeitsspeicher erkennen: Real Protect-Scans: Hiermit werden Reputationen automatisiert analysiert. Mit Real Protect werden verdächtige Dateien und Aktivitäten auf Client-Systemen untersucht und bösartige Muster mithilfe von maschinellen Lerntechniken erkannt. Client-basierte und Cloud-basierte Real Protect-Scans umfassen das Scannen von DLLs, um das Laden nicht vertrauenswürdiger PE- und DLL-Dateien durch vertrauenswürdige Prozesse zu verhindern. Korrigieren Mit den folgenden Funktionen des Moduls Adaptiver Bedrohungsschutz können Sie Dateien säubern und False-Positives eliminieren: Säubern von Dateien: Wenn die Datei-Reputation einen bestimmten Schwellenwert erreicht, kann sie vom Modul Adaptiver Bedrohungsschutz gesäubert werden. Benutzerdefinierte Dateiausschlüsse: Wenn eine benutzerdefinierte Datei vertrauenswürdig ist, während ihre Standard-Reputation "Bösartig" lautet, wird die Datei blockiert. Sie können die Datei von Scans ausschließen oder ihre Reputation in Vertrauenswürdig ändern und ihre Ausführung im Unternehmen zulassen, ohne bei McAfee eine aktualisierte DAT-Datei anzufragen. McAfee epo-dashboards und -Berichte: Zeigen Sie Aktivitäten und Erkennungen an, mit deren Hilfe Sie die Einstellungen für das Modul Adaptiver Bedrohungsschutz optimieren können. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 9

10 1 Produktübersicht Funktionsweise des Moduls Adaptiver Bedrohungsschutz Funktionsweise des Moduls Adaptiver Bedrohungsschutz Durch das Modul Adaptiver Bedrohungsschutz wird mithilfe von Reputationsinformationen aus dem lokalen Reputations-Cache, vom TIE-Server und aus McAfee GTI bestimmt, wie Dateien auf dem Client-System behandelt werden sollen. 1 Der Administrator konfiguriert die Einstellungen für das Modul Adaptiver Bedrohungsschutz in McAfee epo und erzwingt sie auf dem Client-System. 2 Ein Benutzer öffnet auf dem Client-System eine Datei. Vom Modul Adaptiver Bedrohungsschutz wird überprüft, ob die Datei im lokalen Reputations-Cache enthalten ist. 3 Wenn die Datei nicht im lokalen Reputations-Cache enthalten ist, wird vom Modul Adaptiver Bedrohungsschutz eine Reputationsabfrage an den TIE-Server (falls verfügbar) gesendet. 4 Wenn der TIE-Server nicht verfügbar ist oder die Datei nicht in der Datenbank des TIE-Servers enthalten ist, wird vom Modul Adaptiver Bedrohungsschutz eine Reputationsabfrage an McAfee GTI gesendet. 5 Abhängig von der Reputation der Datei und den Einstellungen für das Modul Adaptiver Bedrohungsschutz geschieht Folgendes: Die Datei kann geöffnet werden. Die Datei kann in einem Container ausgeführt werden. Die Datei wird blockiert. Der Benutzer wird gefragt, welche Aktion ausgeführt werden soll. 6 Von McAfee GTI werden die neuesten Informationen zur Datei-Reputation an den TIE-Server zurückgegeben. 10 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

11 Produktübersicht Funktionsweise des Moduls Adaptiver Bedrohungsschutz 1 7 Die Datenbank wird vom TIE-Server aktualisiert, und die aktualisierten Reputationsinformationen werden an alle Systeme gesendet, auf denen das Modul Adaptiver Bedrohungsschutz aktiviert ist. Dadurch wird die Umgebung sofort geschützt. 8 Die Details werden vom Modul Adaptiver Bedrohungsschutz protokolliert. Anschließend wird ein Ereignis generiert und an McAfee epo gesendet. Abbildung 1-2 Funktionsweise Die Funktionsweise des Moduls Adaptiver Bedrohungsschutz ist unterschiedlich, abhängig davon, ob Kommunikation mit dem TIE-Server stattfindet und ob das Modul mit dem Internet verbunden ist. Wenn TIE-Server und Data Exchange Layer vorhanden sind Wenn ein TIE-Server vorhanden ist, werden vom Adaptiver Bedrohungsschutz mithilfe des Data Exchange Layer-Frameworks Datei- und Bedrohungsinformationen sofort im gesamten Unternehmen weitergegeben. Sie können sehen, auf welchen Systemen eine Bedrohung zuerst erkannt wurde, welchen weiteren Weg die Bedrohung nimmt, und sie dann sofort stoppen. Mit dem Modul Adaptiver Bedrohungsschutz und dem TIE-Server können Sie die Datei-Reputation auf einer lokalen Ebene in Ihrer Umgebung kontrollieren. Sie entscheiden, welche Dateien ausgeführt werden können und welche blockiert werden. Die Informationen werden dann von Data Exchange Layer sofort an die gesamte Umgebung weitergegeben. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 11

12 1 Produktübersicht Funktionsweise des Moduls Adaptiver Bedrohungsschutz Die Informationen zur Datei-Reputation werden zwischen dem Modul Adaptiver Bedrohungsschutz und dem Server kommuniziert. Diese Informationen werden vom Data Exchange Layer-Framework sofort an die verwalteten Endpunkte weitergegeben. Außerdem werden Informationen gemeinsam mit anderen McAfee-Produkten genutzt, in denen auf Data Exchange Layer zugegriffen wird. Dazu gehören beispielsweise McAfee Enterprise Security Manager (McAfee ESM) und McAfee Network Security Platform. Abbildung 1-3 Adaptiver Bedrohungsschutz mit TIE-Server und Data Exchange Layer 12 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

13 Produktübersicht Funktionsübersicht 1 Wenn der TIE-Server und Data Exchange Layer nicht vorhanden sind Die Informationen zur Datei-Reputation werden zwischen dem Modul Adaptiver Bedrohungsschutz und McAfee GTI kommuniziert. Abbildung 1-4 Adaptiver Bedrohungsschutz mit McAfee GTI Wenn kein TIE-Server vorhanden ist und das System nicht mit dem Internet verbunden ist, wird vom Adaptiver Bedrohungsschutz die Datei-Reputation anhand von Informationen zum lokalen System bestimmt. Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen auf Seite 14 Überwachen von Aktivitäten mit Real Protect-Scans auf Seite 20 Bestimmung einer Reputation auf Seite 14 Funktionsweise der dynamischen Anwendungsbeschränkung auf Seite 21 Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 49 Funktionsübersicht Inhalt Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen Bestimmung einer Reputation Funktionsweise von Inhaltsdateien Überwachen von Aktivitäten mit Real Protect-Scans Funktionsweise der dynamischen Anwendungsbeschränkung McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 13

14 1 Produktübersicht Funktionsübersicht Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen Die Reputationen von Dateien und Zertifikaten basieren auf ihrem Inhalt und ihren Eigenschaften. Gemäß den Einstellungen für den Adaptiver Bedrohungsschutz werden Elemente abhängig von ihren Reputationsstufen in der Umgebung blockiert oder zugelassen. Sie haben die Wahl zwischen drei Sicherheitsstufen, mit denen Sie abstimmen können, wie die Regeln für bestimmte Systemtypen angewendet werden. Jeder Stufe sind bestimmte Regeln zugeordnet, mit denen bösartige und verdächtige Dateien und Zertifikate identifiziert werden. Produktivität: Systeme, auf denen häufig Änderungen vorgenommen sowie vertrauenswürdige Programme installiert und deinstalliert werden und die häufig Aktualisierungen erhalten. Dazu gehören Computer, die in Entwicklungsumgebungen verwendet werden. Mit dieser Einstellung werden weniger Regeln verwendet. Für Benutzer bedeutet dies weniger Blockierungen und Eingabeaufforderungen, wenn neue Dateien erkannt werden. Ausgleich: Dies sind typische Unternehmenssysteme, auf denen selten neue Programme installiert oder Änderungen vorgenommen werden. Mit dieser Einstellung werden mehr Regeln verwendet. Den Benutzern werden häufiger Blockierungen und Eingabeaufforderungen angezeigt. Sicherheit: Von der IT-Abteilung verwaltete Geräte mit strikter Kontrolle und wenig Änderungen. Dies sind beispielsweise Systeme, über die in einer Umgebung von Finanzinstitutionen oder Behörden auf kritische oder vertrauliche Informationen zugegriffen wird. Diese Einstellung wird auch für Server verwendet. Mit dieser Einstellung wird die maximale Anzahl von Regeln verwendet. Bei den Benutzern kommt es noch häufiger zu Blockierungen und Eingabeaufforderungen. Bedenken Sie beim Bestimmen der Sicherheitsstufe, die Sie zuweisen möchten, den Typ der Systeme. Berücksichtigen Sie außerdem, in welchem Umfang Blockierungen und Eingabeaufforderungen auftreten sollen. Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite 35 Bestimmung einer Reputation Beim Bestimmen der Reputation einer Datei oder eines Zertifikats durch das Modul Adaptiver Bedrohungsschutz werden Scans vor der Ausführung und Überwachung nach der Ausführung verwendet. Scans von Prozessen vor der Ausführung 14 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

15 Produktübersicht Funktionsübersicht 1 1 Eine portierbare ausführbare Datei (PE-Datei) wird zur Ausführung in einem Prozess geladen. 2 Die Ausschlüsse werden von Endpoint Security überprüft, um zu bestimmen, ob die Datei untersucht werden muss. 3 Die Datei wird vom Modul Adaptiver Bedrohungsschutz untersucht. Außerdem werden Eigenschaften der Datei und des lokalen Systems gesammelt. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 15

16 1 Produktübersicht Funktionsübersicht 4 Vom Modul Adaptiver Bedrohungsschutz wird überprüft, ob der Datei-Hash im lokalen Reputations-Cache enthalten ist. Wenn der Datei-Hash im lokalen Reputations-Cache enthalten ist, werden Daten zur Verbreitung sowie zur Reputation der Datei durch das Modul Adaptiver Bedrohungsschutz aus dem Cache abgerufen, und die zugeordnete Aktion wird ausgeführt. Wenn der Datei-Hash nicht im Cache enthalten ist, werden Daten zur Verbreitung sowie zur Reputation der Datei durch das Modul Adaptiver Bedrohungsschutz vom TIE-Server abgerufen. Weitere Informationen finden Sie in der Dokumentation des TIE-Servers. Wenn Advanced Threat Defense vorhanden und aktiviert ist, lesen Sie weiter unten den Abschnitt Bei Aktivierung von Sandboxing (Advanced Threat Defense). 5 Wenn durch Regeln für das Modul Adaptiver Bedrohungsschutz die endgültige Reputation bestimmt wird, wird der TIE-Server durch das Modul Adaptiver Bedrohungsschutz mit den neuesten Reputationsinformationen aktualisiert, und die zugeordnete Aktion wird ausgeführt. 6 Wenn das Modul Adaptiver Bedrohungsschutz nicht über die endgültige Reputation verfügt, wird die Datei vom Client-basierten Real Protect-Scanner gescannt. Wenn durch den Client-basierten Real Protect-Scanner die endgültige Reputation bestimmt wird, wird der TIE-Server durch das Modul Adaptiver Bedrohungsschutz mit den neuesten Reputationsinformationen aktualisiert, und die zugeordnete Aktion wird ausgeführt. Wenn die endgültige Reputation vom Client-basierten Real Protect-Scanner nicht ermittelt wird, lautet die Datei-Reputation Unbekannt. Durch das Modul Adaptiver Bedrohungsschutz wird das Starten des Prozesses zugelassen, und die Überwachung nach der Ausführung wird gestartet. Überwachung von Prozessen nach der Ausführung 16 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

17 Produktübersicht Funktionsübersicht 1 1 Die Ausführung des Prozesses wird gestartet. Wenn die Datei-Reputation "Bekannt" entspricht, wird vom Modul Adaptiver Bedrohungsschutz die konfigurierte Aktion ausgeführt ("Einschließen", "Blockieren" oder "Säubern"). Wenn die Reputation Unbekannt entspricht, wird das Starten des Prozesses durch das Modul Adaptiver Bedrohungsschutz zugelassen. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 17

18 1 Produktübersicht Funktionsübersicht 2 Wenn der Cloud-basierte Real Protect-Scanner aktiviert ist, wird der ausgeführte Prozess überwacht. Wenn beim Prozess bösartiges Verhalten auftritt, wird vom Cloud-basierten Real Protect-Scanner eine Behebung ausgeführt. Andernfalls wird die Überwachung des Prozesses fortgesetzt. 3 Wenn die dynamische Anwendungsbeschränkung aktiviert ist, wird der Prozess in einem Container ausgeführt. Die Aktionen, die durch den Prozess ausgeführt werden können, werden mit Einschlussregeln bestimmt. Wenn durch den Prozess genügend viele Einschlussregeln für Blockieren ausgelöst werden, dass das Verhalten verdächtig ist, wird die Reputation durch die dynamische Anwendungsbeschränkung verringert. Dies kann dazu führen, dass der Prozess gesäubert wird. Bei Aktivierung von Sandboxing (Advanced Threat Defense) Wenn Advanced Threat Defense vorhanden und aktiviert ist, läuft der folgende Prozess ab. 1 Wenn die Datei in der Umgebung neu ist und das System, auf dem die Datei ausgeführt wird, über Zugriff auf Advanced Threat Defense verfügt, wird die Datei vom TIE-Server zum Scannen an Advanced Threat Defense gesendet. Vom TIE-Server werden dann Abrufe für Analyseberichte ausgeführt, bis diese verfügbar sind. Sie können auf der Seite Richtlinienkatalog in McAfee epo einen oder beide Reputationsanbieter aktivieren. 2 Die Datei wird von Advanced Threat Defense gescannt, und die Ergebnisse für die Datei-Reputation werden über TIE an den Data Exchange Layer-Server gesendet. Außerdem wird die Datenbank aktualisiert, und die aktualisierten Reputationsinformationen werden an alle Systeme gesendet, auf denen das Modul Adaptiver Bedrohungsschutz aktiviert ist. Dadurch wird die Umgebung sofort geschützt. Dieser Prozess kann über das Modul Adaptiver Bedrohungsschutz oder ein beliebiges anderes McAfee-Produkt initiiert werden. Die Reputation wird vom TIE-Server verarbeitet und in der Datenbank gespeichert. Wenn McAfee Web Gateway vorhanden ist Wenn McAfee Web Gateway vorhanden ist, läuft der folgende Prozess ab. Wenn Sie Dateien herunterladen, wird ein Bericht von McAfee Web Gateway an den TIE-Server gesendet und ein Reputationsfaktor in der Datenbank gespeichert. Wenn der Server vom Modul eine Anfrage für eine Datei-Reputation erhält, wird die Reputation zurückgegeben, die der Server von McAfee Web Gateway und anderen Reputationsanbietern erhalten hat. Wenn Endpoint Security-Webkontrolle vorhanden ist Wenn Sie eine Datei herunterladen, wird von der Webkontrolle eine Nachricht an den TIE-Server gesendet. Diese enthält die URL des Download-Speicherorts, die URL-Reputation aus McAfee GTI und den Hash-Wert der Datei. Die Informationen stehen auf der Registerkarte Zugehörige URL auf der Seite mit den Hash-Informationen zur Verfügung. Wenn der TIE-Server eine Anfrage für eine Datei-Reputation erhält, werden diese Informationen als Teil der Reaktion zurückgegeben. Wann wird der Cache geleert? auf Seite 19 Funktionsweise des Moduls Adaptiver Bedrohungsschutz auf Seite 10 Funktionsweise der dynamischen Anwendungsbeschränkung auf Seite 21 Überwachen von Aktivitäten mit Real Protect-Scans auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

19 Produktübersicht Funktionsübersicht 1 Wann wird der Cache geleert? Der Zeitpunkt der Leerung des gesamten Caches wird in der Regelkonfiguration definiert. Mit Objektstatus, Reputation oder Ablaufdatum wird definiert, wann einzelne Objekte aus dem Cache gelöscht werden. Der gesamte Cache des Moduls Adaptiver Bedrohungsschutz wird bei Änderungen an der Regelkonfiguration geleert: Der Status mindestens einer Regel wurde geändert, beispielsweise von Aktiviert in Deaktiviert. Die Regelsatzzuweisung wurde geändert, beispielsweise von Ausgleich in Sicherheit. Der Cache einer einzelnen Datei oder eines einzelnen Zertifikats wird in den folgenden Fällen geleert: Die Datei wurde auf dem Datenträger geändert. Vom TIE-Server wird ein Reputationsänderungsereignis veröffentlicht. Das Objekt läuft ab. Standardmäßig werden Elemente im Cache je nach Typ stündlich bis wöchentlich geleert. Manchmal weicht der Ablaufzeitpunkt für ein Element vom Standard ab. Der Cache ist voll. Elemente im Cache, auf die kürzlich zugegriffen wurde, werden beibehalten. Ältere Elemente laufen ab und werden entfernt. Die Gültigkeitsdauer wird in der AMCore-Inhaltsdatei oder vom Reputationsanbieter festgelegt. Beim Hinzufügen des Objekts zum Cache war ein bestimmter Verbindungsstatus wirksam. Wenn ein Objekt hinzugefügt wird, während der Reputationsanbieter nicht mit dem TIE-Server oder mit McAfee GTI verbunden ist, wird die Reputation aktualisiert, sobald die Konnektivität wiederhergestellt ist. Nachdem das Element aus dem Cache gelöscht wurde, wird die Reputation erneut berechnet, wenn das Modul Adaptiver Bedrohungsschutz zum nächsten Mal über die Datei benachrichtigt wird. Funktionsweise von Inhaltsdateien AMCore-Inhaltsdateien enthalten Aktualisierungen für Scan-Module, Signaturen und Regeln, die vom Modul Adaptiver Bedrohungsschutz für die dynamische Berechnung der Reputation von Dateien und Prozessen auf Client-Systemen verwendet werden. McAfee Labs findet Informationen zu bekannten Bedrohungen (Signaturen) und fügt diese zu den Inhaltsdateien hinzu. Inhaltsdateien enthalten neben den Signaturen auch Informationen zum Säubern und zu Maßnahmen, die zur Behebung des von der erkannten Malware verursachten Schadens durchgeführt werden können. Neue Bedrohungen kommen hinzu, weshalb McAfee Labs regelmäßig aktualisierte Inhaltsdateien veröffentlicht. Wenn die Signatur einer Bedrohung in den installierten Inhaltsdateien nicht enthalten ist, kann diese Bedrohung vom Scan-Modul nicht erkannt werden, sodass das System anfällig für Angriffe ist. Die zurzeit geladene Inhaltsdatei und die zwei vorherigen Versionen werden von Endpoint Security im Ordner "Programme\Common Files\McAfee\Engine\content" gespeichert. Bei Bedarf können Sie wieder eine vorherige Version verwenden. Wenn vom Adaptiver Bedrohungsschutz festgestellt wird, dass es sich bei einer Erkennung um ein False-Positive handelt, wird von McAfee Labs eine negative EXTRA.DAT-Datei zur Unterdrückung der Erkennung veröffentlicht. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 19

20 1 Produktübersicht Funktionsübersicht AMCore-Inhaltspaket McAfee Labs veröffentlicht AMCore-Inhaltspakete täglich bis 19:00 Uhr. (GMT/UTC). Wenn eine neue Bedrohung dies erfordert, können die täglichen AMCore-Inhaltsdateien auch früher veröffentlicht werden. Manchmal kann sich die Veröffentlichung auch verzögern. Abonnieren Sie den Support Notification Service (SNS), um über Verzögerungen oder wichtige Nachrichten informiert zu werden. Weitere Informationen finden Sie unter KB Das AMCore-Inhaltspaket enthält die folgenden Komponenten des Moduls Adaptiver Bedrohungsschutz: Adaptiver Bedrohungsschutz: Scanner und Regeln Enthält Regeln für die dynamische Berechnung der Reputation von Dateien und Prozessen auf den Client-Systemen. McAfee veröffentlicht alle zwei Monate neue Inhaltsdateien für das Modul Adaptiver Bedrohungsschutz. Real Protect: Modul und Inhalt Enthält Aktualisierungen für das Real Protect-Scan-Modul und die Signaturen auf der Basis der Ergebnisse fortlaufender Bedrohungsforschungen. Real Protect ist eine Komponente des optionalen Moduls Adaptiver Bedrohungsschutz. Stellen Sie sicher, dass für Endpoint Security immer die neuesten Inhaltsdateien und das neueste Modul verwendet werden, indem Sie diese Dateien täglich von McAfee abrufen und Ihre Systeme aktualisieren. Wenn Sie Clients verwalten, auf denen der Adaptiver Bedrohungsschutz und entweder das Threat Intelligence Exchange-Modul für Endpoint Security oder der Bedrohungsschutz auf demselben McAfee epo-server ausgeführt wird, sind die auf der Seite Server-Einstellungen angezeigten Regeln von dem im Master-Repository eingecheckten Inhalt abhängig. Wenn das AMCore-Inhaltspaket eingecheckt ist, werden vom Adaptiver Bedrohungsschutz Regeln aus diesem Inhaltspaket angezeigt. Andernfalls werden vom Adaptiver Bedrohungsschutz Regeln aus dem Inhalt des Threat Intelligence Exchange-Moduls angezeigt. Wenn im Master-Repository keines von diesen vorhanden ist, ist die Seite Server-Einstellungen für den Adaptiver Bedrohungsschutz leer. Vom Adaptiver Bedrohungsschutz werden nur Regeln aus einer Inhaltsquelle angezeigt. Wenn eine Inhaltsaktualisierung des Threat Intelligence Exchange-Moduls Änderungen für Regeln enthält, werden diese Änderungen nicht unter Server-Einstellungen angezeigt (und können nicht bearbeitet werden), bis das AMCore-Inhaltspaket mit diesen Änderungen aktualisiert wurde. Handhabung von neuen False-Positives mit Extra.DAT-Dateien auf Seite 37 Überwachen von Aktivitäten mit Real Protect-Scans Vom Real Protect-Scanner werden verdächtige Dateien und Aktivitäten auf Client-Systemen untersucht, um bösartige Muster mithilfe von maschinellen Lerntechniken zu erkennen. Diese Informationen werden vom Scanner verwendet, um Zero-Day-Malware zu erkennen. Die Real Protect-Technologie wird unter einigen Windows-Betriebssystemen nicht unterstützt. Weitere Informationen finden Sie unter KB Der Real Protect-Scanner bietet zwei Optionen für die Durchführung einer automatisierten Analyse: Auf dem Client-System In der Cloud Bewährte Methode: Aktivieren Sie beide Real Protect-Optionen (Client und Cloud), solange der technische Support Ihnen nichts anderes rät. Es werden keine personenbezogenen Informationen an die Cloud gesendet. 20 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

21 Produktübersicht Funktionsübersicht 1 Client-basierte Scans Mithilfe von maschinellem Lernen auf dem Client-System wird von Real Protect festgestellt, ob die Datei mit bekannter Malware übereinstimmt. Wenn das Client-System mit dem Internet verbunden ist, werden von Real Protect Telemetrie-Informationen in die Cloud gesendet, die jedoch nicht für die Analyse verwendet wird. Mit den Sensibilitätsstufen für Client-basierte Scans, die auf mathematischen Formeln basieren, werden verdächtigen Aktivitäten "Toleranzwerte" zugewiesen, um zu bewerten, ob die Datei mit bekannter Malware übereinstimmt. Je höher die Sensibilitätsstufe, desto höher ist auch die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen steigt jedoch möglicherweise auch die Anzahl der False-Positives. Sensibilitätsstufe Empfohlene Verwendung Niedrig Mittel Hoch Systeme, beispielsweise Server, auf denen selten Internetverbindungen hergestellt werden oder nur Verbindungen mit vertrauenswürdigen Websites (geringes Infektionsrisiko) hergestellt werden und die Auswirkung von False-Positives hoch ist Systeme, die nicht den anderen Kriterien entsprechen (Standard) Systeme mit mehreren Benutzern und ungefiltertem Netzwerkzugriff (höheres Infektionsrisiko) und geringen Auswirkungen durch False-Positives Für Client-basierte Scans ist eine Verbindung mit McAfee GTI oder einem TIE-Server erforderlich, sofern Offline-Scans nicht aktiviert sind. Bewährte Methode: Da Offline-Scans zu vermehrten False-Positives führen können, sollten Sie diese Option nur für Systeme ohne Konnektivität mit McAfee GTI oder dem TIE-Server aktivieren. Cloud-basierte Scans Von Real Protect werden Dateiattribute und Verhaltensinformationen erfasst und zum Zweck der Malware-Analyse an das maschinelle Lernsystem in der Cloud gesendet. Für Cloud-basierte Scans ist eine Verbindung mit "realprotect1.mcafee.com" erforderlich. Weitere Informationen finden Sie unter KB Bewährte Methode: Deaktivieren Sie die Cloud-basierte Real Protect-Funktion auf Systemen, die nicht mit dem Internet verbunden sind. Bestimmung einer Reputation auf Seite 14 Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite 35 Überprüfen des Verbindungsstatus auf Seite 50 Funktionsweise der dynamischen Anwendungsbeschränkung Mit dem Modul Adaptiver Bedrohungsschutz wird anhand der Reputation einer Anwendung ermittelt, ob die Anwendung durch die dynamische Anwendungsbeschränkung eingeschränkt ausgeführt wird. Unsichere Aktionen der Anwendung werden basierend auf Einschlussregeln durch die dynamische Anwendungsbeschränkung blockiert oder protokolliert. Wenn durch Anwendungen Blockierungsregeln für Einschlüsse ausgelöst werden, werden diese Informationen von der dynamischen Anwendungsbeschränkung verwendet und fließen in die allgemeine Reputation eingeschlossener Anwendungen ein. Ein Einschluss kann durch andere Technologien wie beispielsweise McAfee Active Response angefragt werden. Wenn der Einschluss einer Anwendung durch mehrere bei der dynamischen Anwendungsbeschränkung registrierte Technologien angefragt wird, sind die Anfragen kumulativ. Die Anwendung bleibt so lange eingeschlossen, bis sie von allen Technologien freigegeben wird. Wenn eine Technologie, durch die ein Einschluss angefordert wurde, deaktiviert oder entfernt wird, werden die entsprechenden Anwendungen durch die dynamische Anwendungsbeschränkung freigegeben. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 21

22 1 Produktübersicht Funktionsübersicht Workflow für dynamische Anwendungsisolierung 1 Die Ausführung des Prozesses wird gestartet. 2 Wenn die Anwendungs-Reputation den Reputationsschwellenwert für den Einschluss erreicht oder darunter liegt, wird die dynamische Anwendungsbeschränkung vom Modul Adaptiver Bedrohungsschutz benachrichtigt, dass der Prozess gestartet wurde, und der Einschluss wird angefragt. 3 Der Prozess wird durch die dynamische Anwendungsbeschränkung eingeschlossen. Sofern dies konfiguriert ist, wird durch die dynamische Anwendungsbeschränkung das Ereignisprotokoll im Endpoint Security-Client aktualisiert und ein Ereignis an McAfee epo gesendet, um über folgende Fälle zu benachrichtigen: Eine Anwendung wurde eingeschlossen. Durch eine eingeschlossene Anwendung wird versucht, die Einschlussregeln zu verletzen. Sie können Ereignisse der dynamischen Anwendungsbeschränkung im Bedrohungsereignisprotokoll in McAfee epo anzeigen. 4 Wenn die eingeschlossene Anwendung sicher ist, können Sie zulassen, dass sie normal (ohne Einschluss) ausgeführt wird. 22 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

23 Produktübersicht Verwenden des Moduls Adaptiver Bedrohungsschutz in Ihrer Umgebung 1 Funktionsweise des Moduls Adaptiver Bedrohungsschutz auf Seite 10 Dynamisches Einschließen von Anwendungen auf Seite 53 Bestimmung einer Reputation auf Seite 14 Verwenden des Moduls Adaptiver Bedrohungsschutz in Ihrer Umgebung Nutzen Sie den Beobachtungsmodus, um Einstellungen für das Modul Adaptiver Bedrohungsschutz festzulegen und das Modul auszuführen, um zu ermitteln, wie oft eine Daten in Ihrer Umgebung gesehen wird. Passen Sie die Einstellungen oder Reputationen nach Bedarf an. 1 Konfigurieren Sie Einstellungen für das Modul Adaptiver Bedrohungsschutz, um festzulegen, was blockiert, zugelassen oder eingeschlossen wird. 2 Führen Sie den Adaptiver Bedrohungsschutz im Beobachtungsmodus aus, um die Dateiverbreitung festzustellen und zu sehen, was vom Adaptiver Bedrohungsschutz in Ihrer Umgebung erkannt wird. Vom Adaptiver Bedrohungsschutz werden die Ereignisse Würde blockieren, Würde säubern und Würde einschließen generiert, aus denen hervorgeht, welche Aktionen ausgeführt würden. Der Dateiverbreitung können Sie entnehmen, wie oft eine Datei in einer Umgebung auftritt. Beobachtungsmodus gilt für alle Funktionen des Adaptiver Bedrohungsschutz, einschließlich Real Protect und der dynamischen Anwendungsbeschränkung. Wenn Sie diesen Modus aktivieren, werden mit dem Modul Adaptiver Bedrohungsschutz zwar Ereignisse generiert, jedoch keine Aktionen erzwungen. Dies macht Ihre Systeme für Bedrohungen anfällig. 3 Sie können Einstellungen oder Reputationen für einzelne Dateien und Zertifikate überwachen und anpassen, um zu steuern, was in Ihrer Umgebung zugelassen ist. Feststellen der Dateiverbreitung im Beobachtungsmodus Durch das Feststellen der Dateiverbreitung können Sie ermitteln, wie oft Dateien in Ihrer Umgebung auftreten. Sie können sehen, welche Elemente in der Umgebung ausgeführt werden, und Reputationsinformationen für Dateien und Zertifikate zur TIE-Server-Datenbank hinzufügen. Mit diesen Informationen werden außerdem die Diagramme und Dashboards in dem Modul aufgefüllt, in dem Sie detaillierte Reputationsinformationen für Dateien und Zertifikate anzeigen. Erstellen Sie zunächst eine oder mehrere Richtlinien für den Adaptiver Bedrohungsschutz, die auf einigen wenigen Systemen in der Umgebung ausgeführt werden sollen. Mit den Richtlinien bestimmen Sie Folgendes: Wann eine Datei oder ein Zertifikat mit einer bestimmten Reputation auf einem System ausgeführt werden darf Wann eine Datei oder ein Zertifikat blockiert wird Wann eine Anwendung isoliert wird Wann der Benutzer zu einer Eingabe aufgefordert wird Wann eine Datei zur weiteren Analyse an Advanced Threat Defense übermittelt wird Während des Feststellens der Dateiverbreitung können Sie den Beobachtungsmodus auf Client-Systemen aktivieren. Datei- und Zertifikat-Reputationen werden zur Datenbank hinzugefügt. Die Ereignisse Würde blockieren, Würde säubern und Würde einschließen werden generiert, es wird jedoch keine Aktion durchgeführt. Sie können sehen, was mit dem Modul Adaptiver Bedrohungsschutz blockiert, zugelassen oder eingeschlossen wird, wenn die Einstellungen erzwungen werden. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 23

24 1 Produktübersicht Verwenden des Moduls Adaptiver Bedrohungsschutz in Ihrer Umgebung Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite 35 Überwachen und Vornehmen von Anpassungen Verwenden Sie die Dashboards und Ereignisansichten von McAfee epo, um die Dateien und Zertifikate zu sehen, die gemäß den Richtlinien blockiert, zugelassen oder eingeschlossen wurden. Sie können detaillierte Informationen nach Endpunkt, Datei, Regel oder Zertifikat anzeigen und schnell sehen, wie viele Elemente identifiziert und welche Aktionen ausgeführt wurden. Sie können einen Drilldown ausführen, indem Sie auf ein Element klicken und die Reputationseinstellungen für bestimmte Dateien oder Zertifikate anpassen, damit die entsprechende Aktion ausgeführt wird. Wenn beispielsweise die Standardreputation einer Datei "Verdächtig" oder "Unbekannt" entspricht, obwohl Sie wissen, dass die Datei vertrauenswürdig ist, können Sie die Datei von Scans ausschließen oder die Reputation in "Vertrauenswürdig" ändern. Die Anwendung kann dann in Ihrer Umgebung normal ausgeführt werden, ohne dass sie blockiert wird oder Benutzer zu einer Aktion aufgefordert werden. Sie können die Reputation für interne oder benutzerdefinierte Dateien ändern, die in Ihrer Umgebung verwendet werden. Suchen Sie mit der Funktion TIE-Reputationen nach einem bestimmten Datei- oder Zertifikatnamen. Sie können Details zu der Datei oder dem Zertifikat anzeigen, beispielsweise den Namen des Unternehmens, die SHA-1- und SHA-256-Hash-Werte, MD5, die Beschreibung und McAfee GTI-Informationen. Bei Dateien können Sie außerdem direkt über die Seite mit den Details für TIE-Reputationen auf VirusTotal zugreifen, um zusätzliche Informationen zu sehen (siehe Informationen zu VirusTotal). Auf der Seite Berichterstellungs-Dashboard können Sie verschiedene Arten von Reputationsinformationen gleichzeitig sehen. Sie können unter anderem die Anzahl der in der letzten Woche in der Umgebung erkannten neuen Dateien, der Dateien nach Reputation, der Dateien mit kürzlich geänderter Reputation und der Systeme, auf denen kürzlich neue Dateien ausgeführt wurden, anzeigen. Wenn Sie im Dashboard auf ein Element klicken, werden detaillierte Informationen angezeigt. Wenn Sie eine schädliche oder verdächtige Datei identifiziert haben, können Sie schnell die Systeme sehen, auf denen die Datei ausgeführt wurde und die möglicherweise kompromittiert sind. Importieren Sie Datei- oder Zertifikat-Reputationen in die Datenbank, um bestimmte Dateien oder Zertifikate basierend auf anderen Reputationsquellen zuzulassen oder zu blockieren. Auf diese Weise können Sie die importierten Einstellungen für bestimmte Dateien und Zertifikate verwenden, ohne diese einzeln auf dem Server festlegen zu müssen. Auf der Seite TIE-Reputationen werden in der Spalte Hauptreputation die am weitesten verbreitete Reputation und ihr Anbieter angezeigt (TIE-Server 2.0 und höher). Auf der Seite TIE-Reputationen werden in der Spalte Zuletzt angewendete Regel Reputationsinformationen basierend auf der letzten Erkennungsregel angezeigt und verfolgt, die für jede Datei auf dem Endpunkt angewendet wurde. Sie können diese Seite anpassen, indem Sie auf Aktionen Spalten auswählen klicken. Überprüfen der letzten Ereignisse auf Bedrohungen auf Seite 39 Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz auf Seite 41 Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz auf Seite 43 Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

25 Produktübersicht Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo 1 Übermitteln von Dateien zur weiteren Analyse Wenn die Reputation einer Datei unbekannt ist, können Sie die Datei zur weiteren Analyse an Advanced Threat Defense übermitteln. Geben Sie mit den TIE-Server-Einstellungen an, welche Dateien Sie übermitteln möchten. Mit Advanced Threat Defense wird Zero-Day-Malware erkannt und mit Antiviren-Signaturen, Reputationsinformationen und Abwehrmaßnahmen durch Echtzeit-Emulation kombiniert. Sie können Dateien aus dem Modul Adaptiver Bedrohungsschutz automatisch basierend auf ihrer Reputationsstufe und Dateigröße an Advanced Threat Defense senden lassen. Die aus Advanced Threat Defense gesendeten Datei-Reputationsinformationen werden zur TIE-Server-Datenbank hinzugefügt. McAfee GTI-Telemetrie-Informationen Die an McAfee GTI gesendeten Informationen zu Dateien und Zertifikaten werden verwendet, um diese besser zu verstehen und die Reputationsinformationen zu verbessern. In der Tabelle finden Sie Details zu den von McAfee GTI für Dateien und Zertifikate, nur für Dateien oder nur für Zertifikate bereitgestellten Informationen. Kategorie Datei und Zertifikat Nur Datei Nur Zertifikat Beschreibung Versionen des TIE-Servers und des Moduls Auf dem TIE-Server vorgenommene Einstellungen zur Außerkraftsetzung der Reputation Externe Reputationsinformationen, beispielsweise aus Advanced Threat Defense Name, Typ, Pfad, Größe, Produkt, Herausgeber und Verbreitung der Datei SHA-1-, SHA-256- und MD5-Informationen Betriebssystemversion des meldenden Computers Für die Datei festgelegte maximale, minimale und durchschnittliche Reputation Ob sich das Berichterstellungsmodul im Beobachtungsmodus befindet Ob die Ausführung der Datei zugelassen oder die Datei blockiert, eingeschlossen oder gesäubert wurde Das Produkt, von dem die Datei erkannt wurde, beispielsweise Advanced Threat Defense oder Bedrohungsschutz SHA-1-Informationen Namen von Aussteller und Antragsteller des Zertifikats Gültigkeits- und Ablaufdatum des Zertifikats McAfee erfasst keine personenbezogenen Informationen und gibt Informationen nicht außerhalb von McAfee weiter. Bestimmung einer Reputation auf Seite 14 Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo Mit diesen Funktionen und Verbesserungen verstärkt das verwaltete Produkt die Sicherung Ihres Netzwerks. Für den Zugriff auf einen Großteil der Funktionen müssen Sie über die entsprechenden Berechtigungen verfügen. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 25

26 1 Produktübersicht Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo McAfee epo-funktion Dashboards Ereignisse und Reaktionen Eigenschaften von verwalteten Systemen Berechtigungssätze Richtlinien Abfragen und Berichte Server-Einstellungen Adaptiver Bedrohungsschutz Ereignisse Hinzufügung Dashboards und Monitore, mit denen Sie Aktivitäten in Ihrer Umgebung verfolgen können. Ereignisse, für die Sie automatische Reaktionen konfigurieren können. Ereignisgruppen und -Ereignistypen, mit denen Sie automatische Reaktionen anpassen können. Eigenschaften, die Sie über die Systemstruktur prüfen oder zum Anpassen von Abfragen verwenden können. Berechtigungskategorien Endpoint Security Adaptiver Bedrohungsschutz und Endpoint Security Adaptiver Bedrohungsschutz Abfrage, die in allen vorhandenen Berechtigungssätzen verfügbar sind Richtlinienkategorien Dynamische Anwendungsbeschränkung und Optionen in der Produktgruppe Endpoint Security Adaptiver Bedrohungsschutz Standardabfragen, mit denen Sie Berichte ausführen können. Benutzerdefinierte Eigenschaftsgruppen basierend auf verwalteten Systemeigenschaften, die Sie zum Erstellen eigener Abfragen und Berichte verwenden. Adaptiver Bedrohungsschutz-Server-Einstellungen, um die Einstellungen für Ihren verwalteten Produkt-Server anzupassen Auf der Seite Adaptiver Bedrohungsschutz Ereignisse werden unter Berichterstellung aktuelle und frühere Ereignisse für Systeme (Geräte), Dateien, Regeln und Zertifikate angezeigt. Informationen zu diesen Funktionen finden Sie in der Dokumentation zu McAfee epo. Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 Verwenden von Berechtigungssätzen auf Seite 26 Richtlinien und Adaptiver Bedrohungsschutz auf Seite 29 Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz auf Seite 41 Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz auf Seite 43 Server-Tasks und das Modul Adaptiver Bedrohungsschutz auf Seite 45 Verwenden von Berechtigungssätzen Berechtigungssätze definieren Rechte für die verwaltete Produktfunktionalität in McAfee epo. Mit dem Modul Adaptiver Bedrohungsschutz werden die Berechtigungsgruppen Adaptiver Bedrohungsschutz und Adaptiver Bedrohungsschutz Abfrage zu jedem Berechtigungssatz hinzugefügt. Mit Berechtigungsgruppen bestimmen Sie die Zugriffsrechte für die Funktionen. In McAfee epo werden den globalen Administratoren alle Berechtigungen für sämtliche Produkte und Funktionen erteilt. Administratoren weisen den Benutzerrollen dann vorhandene Berechtigungssätze zu oder erstellen neue. Ihr verwaltetes Produkt fügt die folgenden Berechtigungssteuerelemente zu McAfee epo hinzu. 26 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

27 Produktübersicht Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo 1 Berechtigungssätze Leitender Prüfer Endpoint Security Adaptiver Bedrohungsschutz und Endpoint Security Adaptiver Bedrohungsschutz Abfrage Globaler Prüfer Endpoint Security Adaptiver Bedrohungsschutz Globaler Prüfer Endpoint Security Adaptiver Bedrohungsschutz Abfrage Grupenadmininstrator Endpoint Security Adaptiver Bedrohungsschutz und Endpoint Security Adaptiver Bedrohungsschutz Abfrage Gruppenprüfer Endpoint Security Adaptiver Bedrohungsschutz und Endpoint Security Adaptiver Bedrohungsschutz Abfrage Standardberechtigungen Keine Berechtigungen Zeigt Funktionen an, führt Abfragen aus. Keine Berechtigungen Keine Berechtigungen Keine Berechtigungen Mit diesem verwalteten Produkt werden standardmäßig keine Berechtigungen gewährt. Damit Benutzer auf berechtigungsgesteuerte Funktionen zugreifen oder diese verwenden können, müssen diesen Berechtigungen gewährt werden. Tabelle 1-1 Pro Funktion erforderliche Berechtigungen Funktion Automatische Reaktionen Dashboards und Monitore Richtlinien Abfragen Server-Tasks Systemstruktur Erforderliche Berechtigungen Automatische Reaktionen, Ereignisbenachrichtigungen sowie alle funktionsspezifischen Berechtigungen je nach verwendeter Funktion (wie Systemstruktur oder Abfragen) Dashboards, Abfragen Adaptiver Bedrohungsschutz-Richtlinie Abfragen und Berichte Server-Tasks Systeme, Zugriff auf Systemstruktur Bedrohungsereignisprotokoll Systeme, Zugriff auf Systemstruktur, Bedrohungsereignisprotokoll Informationen zum Verwalten von Berechtigungssätzen finden Sie in der McAfee epo-dokumentation. Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 Richtlinien und Adaptiver Bedrohungsschutz auf Seite 29 Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz auf Seite 41 Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz auf Seite 43 Server-Tasks und das Modul Adaptiver Bedrohungsschutz auf Seite 45 Server-Einstellungen und das Modul Adaptiver Bedrohungsschutz Server-Einstellungen bieten Optionen zum Konfigurieren und Anpassen dieses verwalteten Produkts. Ihr verwaltetes Produkt fügt die folgenden Server-Einstellungen zum McAfee epo-server hinzu. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 27

28 1 Produktübersicht Adaptiver Bedrohungsschutz Ergänzungen für McAfee epo Server-Einstellung Adaptiver Bedrohungsschutz Beschreibung Zeigt die Regeln und die Reihenfolge ihrer Ausführung für jede Sicherheitsstufe an Produktivität, Ausgleich und Sicherheit. Sie können für einzelne Regeln Aktiviert, Deaktiviert oder Beobachten festlegen. 28 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

29 2 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Inhalt Richtlinien und Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen Konfigurieren des Moduls Adaptiver Bedrohungsschutz Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz Richtlinien und Adaptiver Bedrohungsschutz Richtlinien ermöglichen das Konfigurieren, Anwenden und Erzwingen von Einstellungen für verwaltete Systeme in Ihrer Umgebung. Richtlinien sind Sammlungen von Einstellungen, die Sie erstellen, konfigurieren, anwenden und dann erzwingen. Die meisten Richtlinieneinstellungen entsprechen den Einstellungen, die Sie im Endpoint Security-Client konfigurieren. Andere Richtlinieneinstellungen stellen die primäre Schnittstelle zum Konfigurieren der Software dar. Ihr verwaltetes Produkt fügt die folgenden Kategorien zum Richtlinienkatalog hinzu. Die verfügbaren Einstellungen variieren in jeder Kategorie. Tabelle 2-1 Adaptiver Bedrohungsschutz Kategorien Kategorie Dynamische Anwendungsbeschränkung Optionen Beschreibung Führt Anwendungen mit bestimmten Reputationen in einem Container aus und blockiert Aktionen gemäß den Isolierungsregeln. Verwendet den TIE-Server, sofern verfügbar, oder McAfee GTI zum Abrufen der Anwendungs-Reputation. Legt Optionen für das Modul Adaptiver Bedrohungsschutz fest, darunter die folgenden: Aktivieren und Deaktivieren des Moduls Adaptiver Bedrohungsschutz Auswählen der Regelgruppe (Produktivität, Ausgleich oder Sicherheit), in der sich die Regeln befinden, die vom Modul Adaptiver Bedrohungsschutz zum Berechnen der Reputation verwendet werden Aktivieren und Deaktivieren von Client-basierten und Cloud-basierten Real Protect-Scans Festlegen von Reputationsschwellenwerten Konfigurieren von Benutzermeldungen Festlegen von Optionen für das Senden von Dateien an Advanced Threat Defense McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 29

30 2 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Richtlinien und Adaptiver Bedrohungsschutz Anpassen von Richtlinien Jede Richtlinienkategorie enthält Standardrichtlinien. Sie können Standardrichtlinien wie vorgegeben verwenden, die Standardrichtlinien von My Default bearbeiten oder neue Richtlinien erstellen. Tabelle 2-2 Standardrichtlinien des Moduls Adaptiver Bedrohungsschutz Richtlinie McAfee Default Beschreibung Definiert die Standardrichtlinie, die wirksam wird, wenn keine andere Richtlinie angewendet wird. Die McAfee Default-Richtlinie für die dynamische Anwendungsbeschränkung legt Regeln nur auf Melden fest. Benutzer sehen keine Blockierungen oder Eingabeaufforderungen. Zum Senden von Würde blockieren-ereignissen der dynamischen Anwendungsbeschränkung an McAfee epo legen Sie in den Einstellungen unter Allgemeingültig Optionen die Option Zu protokollierende Ereignisse des Moduls Adaptiver Bedrohungsschutz auf Warnung, Kritisch und Alarm fest. Sie können diese Richtlinie duplizieren, aber nicht löschen oder ändern. My Default McAfee Default Balanced McAfee Default Security Definiert Standardeinstellungen für die Kategorie. Definiert eine Richtlinie der dynamischen Anwendungsbeschränkung mit auf Blockieren festgelegten Regeln, um einen Basisschutz bereitzustellen und gleichzeitig False-Positives für gängige nicht signierte Installationsprogramme und Anwendungen zu minimieren. Verwenden Sie diese Richtlinie für typische Unternehmenssysteme, auf denen selten neue Programme installiert oder Änderungen vorgenommen werden. Benutzer erleben einige Blockierungen und Eingabeaufforderungen. Definiert eine Richtlinie der dynamischen Anwendungsbeschränkung mit auf Blockieren festgelegten Regeln, um einen aggressiven Schutz bereitzustellen. Diese Richtlinie verursacht möglicherweise häufiger False-Positives bei nicht signierten Installationsprogrammen und Anwendungen. Mit den Richtlinien für die dynamische Anwendungsbeschränkung, McAfee Default Balanced und McAfee Default Security, werden nur Richtlinieneinstellungen für die dynamische Anwendungsbeschränkung festgelegt. Diese Richtlinien unterscheiden sich von den Regelgruppen Produktivität, Ausgleich und Sicherheit, die vom Modul Adaptiver Bedrohungsschutz zum Berechnen der Reputation verwendet werden, und wirken sich auch nicht auf diese aus. Bewährte Methode Bewerten Sie die Auswirkung der Regeln für die dynamische Anwendungsbeschränkung durch Erzwingen der McAfee Default-Richtlinie. Überwachen Sie die Protokolle und Berichte auf Ereignisse vom Typ "Verletzung von dynamischer Anwendungsbeschränkung zugelassen" (Ereignis-ID 37280), um zu entscheiden, ob Regeln auf Blockieren festgelegt werden sollen. Legen Sie dann Ausschlüsse für Reputationen auf Unternehmensebene oder die dynamische Anwendungsbeschränkung fest, und erzwingen Sie die Richtlinie McAfee Default Balanced. Vergleichen von Richtlinien In McAfee epo 5.0 und höher können Sie Richtlinien in der gleichen Richtlinienkategorie mithilfe des Richtlinienvergleichs vergleichen. Weitere Informationen zu Richtlinien und zum Richtlinienkatalog finden Sie der McAfee epo-dokumentation. Dynamisches Einschließen von Anwendungen auf Seite 31 Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

31 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen 2 Dynamisches Einschließen von Anwendungen In der dynamischen Anwendungsbeschränkung können Sie festlegen, dass Anwendungen mit bestimmten Reputationen in einem Container ausgeführt werden. Durch eingeschlossene Anwendungen dürfen bestimmte durch Einschlussregeln festgelegte Aktionen nicht ausgeführt werden. Basierend auf dem Reputationsschwellenwert wird vom Adaptiver Bedrohungsschutz angefordert, dass die Anwendung durch die dynamische Anwendungsbeschränkung in einem Container ausgeführt wird. Mit dieser Technologie können Sie unbekannte und potenziell unsichere Anwendungen überprüfen, indem Sie deren Ausführung in Ihrer Umgebung mit einem eingeschränkten Aktionsumfang zulassen. Benutzer können die Anwendungen verwenden; diese funktionieren jedoch möglicherweise nicht wie erwartet, da bestimmte Aktionen durch die dynamische Anwendungsbeschränkung blockiert werden. Wenn Sie feststellen, dass eine Anwendung sicher ist, können Sie Endpoint Security Adaptiver Bedrohungsschutz oder den TIE-Server so konfigurieren, dass die Anwendung normal ausgeführt wird. Verwenden der dynamischen Anwendungsbeschränkung 1 Aktivieren Sie das Modul Adaptiver Bedrohungsschutz, und geben Sie in den Einstellungen für die Optionen den Reputationsschwellenwert für das Auslösen der dynamischen Anwendungsbeschränkung an. 2 Konfigurieren Sie die von McAfee definierten Einschlussregeln und Ausschlüsse in den Einstellungen für Dynamische Anwendungsbeschränkung. Zulassen der normalen Ausführung eingeschlossener Anwendungen auf Seite 35 Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung auf Seite 31 Konfigurieren der von McAfee definierten Einschlussregeln auf Seite 32 Bewährte Methode: Optimieren der dynamischen Anwendungsbeschränkung auf Seite 32 Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden auf Seite 34 Isolierte Anwendungen über McAfee epo anzeigen auf Seite 33 Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung Mit der dynamischen Anwendungsbeschränkung können Sie festlegen, dass Anwendungen mit einer bestimmten Reputation in einem Container ausgeführt werden, sodass nur in begrenztem Umfang Aktionen möglich sind. Aktivieren Sie die Erzwingung von Aktionen für die Funktion, und definieren Sie den Reputationsschwellenwert für das Einschließen von Anwendungen. Vorgehensweise 1 Wählen Sie Menü Richtlinie Richtlinienkatalog und anschließend aus der Produkt-Liste Endpoint Security Adaptiver Bedrohungsschutz aus. 2 Wählen Sie in der Kategorie-Liste Optionen aus. 3 Klicken Sie auf den Namen einer bearbeitbaren Richtlinie. 4 Überprüfen Sie, ob das Modul Adaptiver Bedrohungsschutz aktiviert ist. 5 Wählen Sie Dynamische Anwendungsbeschränkung ab folgendem Reputationsschwellenwert auslösen aus. 6 Geben Sie den Reputationsschwellenwert an, ab dem Anwendungen eingeschlossen werden sollen. Möglicherweise vertrauenswürdig Unbekannt (Standard für die Regelgruppe Sicherheit) McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 31

32 2 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen Möglicherweise bösartig (Standard für die Regelgruppe Ausgleich) Höchstwahrscheinlich bösartig (Standard für die Regelgruppe Produktivität) Als bösartig bekannt Der Reputationsschwellenwert für die dynamische Anwendungsbeschränkung muss höher als der Schwellenwert für Blockieren und Säubern sein. Wenn beispielsweise der Schwellenwert für Blockieren auf Als bösartig bekannt festgelegt ist, muss der Schwellenwert für die dynamische Anwendungsbeschränkung auf Höchstwahrscheinlich bösartig oder höher festgelegt werden. 7 Klicken Sie auf Speichern. Konfigurieren der von McAfee definierten Einschlussregeln Mit von McAfee definierten Einschlussregeln werden Aktionen, die von eingeschlossenen Anwendungen ausgeführt werden können, blockiert oder protokolliert. Sie können die Blockierungs- und Meldungseinstellungen ändern, die Regeln jedoch nicht anderweitig ändern oder löschen. Weitere Informationen zu Regeln für die dynamische Anwendungsbeschränkung sowie bewährte Methoden zum Festlegen einer Regel auf "Melden" oder "Blockieren" finden Sie unter KB Vorgehensweise 1 Wählen Sie Menü Richtlinie Richtlinienkatalog und anschließend aus der Produkt-Liste Endpoint Security Adaptiver Bedrohungsschutz aus. 2 Wählen Sie in der Liste Kategorie die Option Dynamische Anwendungsbeschränkung aus. 3 Klicken Sie auf den Namen einer bearbeitbaren Richtlinie. 4 Wählen Sie im Abschnitt Einschlussregeln für die Regel die Option Blockieren oder Melden bzw. beide Optionen aus. Wenn Sie alle Regeln unter Blockieren oder Melden auswählen bzw. deren Auswahl aufheben möchten, klicken Sie auf Alle blockieren bzw. Alle melden. Sie können die Regel deaktivieren, indem Sie sowohl Blockieren als auch Melden deaktivieren. 5 Konfigurieren Sie im AbschnittAusschlüsse ausführbare Dateien, die von der dynamischen Anwendungsbeschränkung ausgeschlossen werden sollen. Die Prozesse in der Liste Ausschlüsse werden normal ausgeführt (nicht eingeschlossen). 6 Klicken Sie auf Speichern. Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden auf Seite 34 Bewährte Methode: Optimieren der dynamischen Anwendungsbeschränkung auf Seite 32 Bewährte Methode: Optimieren der dynamischen Anwendungsbeschränkung Legen Sie beim ersten Aktivieren der dynamischen Anwendungsbeschränkung in Ihrer Umgebung die Regeln nur auf Melden fest, und bewerten Sie die Auswirkungen, bevor Sie die Regeln erzwingen. Benutzer erleben keine Blockierungen oder Eingabeaufforderungen. 32 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

33 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen 2 Vorgehensweise 1 Wählen Sie in den Einstellungen unter Allgemeingültig Optionen im Abschnitt Ereignisprotokollierung die Option Warnung, Kritisch und Alarm aus der Dropdown-Liste Zu protokollierende Ereignisse des Moduls Adaptiver Bedrohungsschutz aus. Dieser Schritt ist erforderlich, um Würde blockieren-ereignisse der dynamischen Anwendungsbeschränkung an McAfee epo zu senden. 2 Erzwingen Sie die McAfee Default-Richtlinie für die dynamische Anwendungsbeschränkung. Mit dieser Richtlinie werden Regeln nur auf Melden festgelegt, und es werden Ereignisse vom Typ "Verletzung von Dynamischer Anwendungsbeschränkung zugelassen" (Ereignis-ID 37280) generiert. 3 Überwachen Sie die Protokolle und Berichte, und entscheiden Sie, ob Regeln auf Blockieren festgelegt werden sollen. 4 Legen Sie nach dem Erfassen von Ereignissen vom Typ "Verletzung von Dynamischer Anwendungsbeschränkung zugelassen" (Ereignis-ID 37280) Ausschlüsse für Reputationen auf Unternehmensebene oder die dynamische Anwendungsbeschränkung fest. 5 Erzwingen Sie die Richtlinie McAfee Default Ausgleich-Richtlinie für die dynamische Anwendungsbeschränkung. Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz auf Seite 41 Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz auf Seite 43 Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 Konfigurieren der von McAfee definierten Einschlussregeln auf Seite 32 Isolierte Anwendungen über McAfee epo anzeigen Die Liste der eingeschlossenen Anwendungen wird über McAfee Agent in den Client-Eigenschaften an McAfee epo gesendet. Anhand dieser Liste können Sie Anwendungen aus dem dynamischen Anwendungseinschluss ausschließen. Vorgehensweise 1 Wählen Sie in der Systemstruktur das System aus, und klicken Sie auf Agenten reaktivieren. Der Aufruf zur Agentenreaktivierung erfasst die Client-Eigenschaften, einschließlich der isolierten Anwendungen, vom Client. Informationen zur Seite McAfee Agent reaktivieren finden Sie in der McAfee epo-hilfe. 2 Klicken Sie in der Systemstruktur auf den Systemnamen. 3 Klicken Sie auf Produkte und dann auf Endpoint Security Adaptiver Bedrohungsschutz. 4 Blättern Sie nach unten zum Abschnitt Dynamische Anwendungsbeschränkung, um die auf dem Client-System isolierten Anwendungen anzuzeigen. 5 Überprüfen Sie, ob in der Liste vertrauenswürdige Anwendungen aufgeführt sind, die ausgeschlossen werden können. Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden auf Seite 34 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 33

34 2 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Dynamisches Einschließen von Anwendungen Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden Wenn ein vertrauenswürdiges Programm eingeschlossen wird, können Sie einen Ausschluss erstellen, mit dem das Programm aus der dynamischen Anwendungsbeschränkung ausgeschlossen wird. Im Endpoint Security-Client erstellte Ausschlüsse gelten nur für das Client-System. Diese Ausschlüsse werden weder an McAfee epo gesendet noch im Abschnitt Ausschlüsse in den Einstellungen für die Dynamische Anwendungsbeschränkung angezeigt. Erstellen Sie globale Ausschlüsse in den Einstellungen für die Dynamische Anwendungsbeschränkung in McAfee epo. Vorgehensweise 1 Auszuschließende vertrauenswürdige Anwendungen identifizieren: Zeigen Sie die Liste der eingeschlossenen Anwendungen an, die von verwalteten Systemen an McAfee epo gesendet werden. 2 Wählen Sie Menü Richtlinie Richtlinienkatalog und anschließend aus der Produkt-Liste Endpoint Security Adaptiver Bedrohungsschutz aus. 3 Wählen Sie in der Liste Kategorie die Option Dynamische Anwendungsbeschränkung aus. 4 Klicken Sie auf den Namen einer bearbeitbaren Richtlinie. 5 Klicken Sie auf Erweiterte einblenden. 6 Klicken Sie im Abschnitt Ausschlüsse auf Hinzufügen, um Prozesse hinzuzufügen, die von allen Regeln ausgeschlossen werden sollen. 7 Konfigurieren Sie auf der Seite Ausführbare Datei die Eigenschaften der ausführbaren Datei. 8 Klicken Sie zum Speichern der Richtlinieneinstellungen zweimal auf Speichern. Aufgaben Abrufen des definierten Namens des Signaturgebers aus McAfee epo, um ihn zum Ausschließen von ausführbaren Dateien zu verwenden auf Seite 34 Der definierte Name des Signaturgebers (Signer Distinguished Name, SDN) ist erforderlich, wenn Sie die Überprüfung digitaler Signaturen aktivieren und nur Dateien ausschließen, die von einem bestimmten Prozess-Signaturgeber signiert wurden. Isolierte Anwendungen über McAfee epo anzeigen auf Seite 33 Abrufen des definierten Namens des Signaturgebers aus McAfee epo, um ihn zum Ausschließen von ausführbaren Dateien zu verwenden Der definierte Name des Signaturgebers (Signer Distinguished Name, SDN) ist erforderlich, wenn Sie die Überprüfung digitaler Signaturen aktivieren und nur Dateien ausschließen, die von einem bestimmten Prozess-Signaturgeber signiert wurden. Vorgehensweise 1 Wählen Sie Menü Berichterstellung Bedrohungsereignisprotokoll aus. 2 Klicken Sie auf das Endpoint Security-Ereignis, um Details anzuzeigen. 34 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

35 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Konfigurieren des Moduls Adaptiver Bedrohungsschutz 2 3 Wählen Sie in Endpoint Security die Option Quellprozess-Signaturgeber aus, und kopieren Sie die Details. 4 Beim Erstellen von Ausschlüssen müssen Sie die Details für Quellprozess-Signaturgeber kopieren und sie als eine einzige Textzeile in das Feld Signiert von einfügen. Das erforderliche Format für diesen SDN lautet beispielsweise: C=US, S=CALIFORNIA, L=MOUNTAIN VIEW, O=MOZILLA CORPORATION, OU=RELEASE ENGINEERING, CN=MOZILLA CORPORATION Zulassen der normalen Ausführung eingeschlossener Anwendungen Wenn Sie feststellen, dass eine isolierte Anwendung sicher ist, können Sie die normale Ausführung in Ihrer Umgebung zulassen. Fügen Sie die Anwendung in den Einstellungen für Dynamische Anwendungsbeschränkung zur Liste globaler Ausschlüsse hinzu. Die Anwendung wird dann aus dem Einschluss freigegeben und normal ausgeführt, unabhängig davon, durch wie viele Technologien der Einschluss der Anwendung angefordert wurde. Konfigurieren Sie Adaptiver Bedrohungsschutz, um den Reputationsschwellenwert zu erhöhen und die Anwendung aus dem Einschluss freizugeben. Die Anwendung wird dann aus dem Einschluss freigegeben und normal ausgeführt, sofern nicht durch eine andere Technologie der Einschluss der Anwendung angefordert wurde. Wenn ein TIE-Server verfügbar ist, ändern Sie die Reputation der Datei in eine Stufe, die die Ausführung zulässt (z. B. Als vertrauenswürdig bekannt). Die Anwendung wird dann aus dem Einschluss freigegeben und normal ausgeführt, sofern nicht durch eine andere Technologie der Einschluss der Anwendung angefordert wurde. Weitere Informationen finden Sie im McAfee Threat Intelligence Exchange-Produkthandbuch. Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden auf Seite 34 Isolierte Anwendungen über McAfee epo anzeigen auf Seite 33 Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite 35 Verhindern des Einschlusses vertrauenswürdiger Programme durch die dynamische Anwendungsbeschränkung auf einem Client-System auf Seite 56 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Mit den Einstellungen für das Modul Adaptiver Bedrohungsschutz legen Sie fest, wann eine Datei oder ein Zertifikat ausgeführt werden darf, eingeschlossen, gesäubert oder blockiert wird oder ob Benutzer aufgefordert werden, eine Entscheidung zu treffen. Vorgehensweise 1 Wählen Sie Menü Richtlinie Richtlinienkatalog und anschließend aus der Produkt-Liste Endpoint Security Adaptiver Bedrohungsschutz aus. 2 Wählen Sie in der Kategorie-Liste Optionen aus. 3 Klicken Sie auf den Namen einer bearbeitbaren Richtlinie. 4 Klicken Sie auf Erweiterte einblenden. 5 Konfigurieren Sie die Einstellungen auf der Seite, und klicken Sie auf Speichern. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 35

36 2 Konfigurieren des Moduls Adaptiver Bedrohungsschutz Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen auf Seite 14 Überwachen von Aktivitäten mit Real Protect-Scans auf Seite 20 Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz Sie können Prozesse von Scans des Moduls Adaptiver Bedrohungsschutz ausschließen, indem Sie sie zu den Einstellungen unter Bedrohungsschutz On-Access-Scan für den Prozesstyp Standard hinzufügen. Alternativ können Sie, wenn ein TIE-Server verfügbar ist, die Reputation der Datei in eine Stufe ändern, mit der die Ausführung zulässig ist (z. B. Als vertrauenswürdig bekannt). Bewährte Methode: Informationen zur Fehlerbehebung von blockierten Drittanbieter-Anwendungen finden Sie unter KB Eine Liste mit ausführbaren Dateien, die vom Modul Adaptiver Bedrohungsschutz gescannt wurden, finden Sie im Debug-Protokoll des Moduls Adaptiver Bedrohungsschutz ("AdvancedThreatProtection_Debug.log") auf dem Client-System. Vorgehensweise 1 Wählen Sie Menü Richtlinie Richtlinienkatalog und anschließend aus der Produkt-Liste Endpoint Security-Bedrohungsschutz aus. 2 Wählen Sie in der Liste Kategorie die Option On-Access-Scan aus. 3 Klicken Sie auf den Namen einer bearbeitbaren Richtlinie. 4 Klicken Sie auf Erweiterte einblenden. 5 Wählen Sie Verschiedene Einstellungen für Prozesse mit hohem Risiko und geringem Risiko konfigurieren aus. 6 Wählen Sie im Abschnitt Prozesstypen die Registerkarte Standard aus. Geben Sie dann im Abschnitt Ausschlüsse die Prozesse ein, die von Scans des Moduls Adaptiver Bedrohungsschutz ausgeschlossen werden sollen. Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf Seite 35 Verhindern, dass vertrauenswürdige Programme durch die dynamische Anwendungsbeschränkung eingeschlossen werden auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

37 3 Verwalten 3 des Moduls Adaptiver Bedrohungsschutz Handhabung von neuen False-Positives mit Extra.DAT-Dateien Wenn vom Adaptiver Bedrohungsschutz festgestellt wird, dass es sich bei einer Erkennung um ein False-Positive handelt, wird von McAfee Labs eine negative EXTRA.DAT-Datei zur Unterdrückung der Erkennung veröffentlicht. Sie können EXTRA.DAT-Dateien für bestimmte Bedrohungen von der McAfee Labs-Seite für Sicherheitsaktualisierungen herunterladen. Sie können für das Modul Adaptiver Bedrohungsschutz nur jeweils eine EXTRA.DAT-Datei verwenden. Wenn Sie sowohl eine negative als auch eine positive EXTRA.DAT-Datei für den Bedrohungsschutz verwenden müssen, können Sie bei McAfee Labs eine kombinierte Datei anfragen. Jede EXTRA.DAT-Datei hat ein integriertes Ablaufdatum. Beim Laden der EXTRA.DAT-Datei wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore-Inhalts verglichen. Wenn das Build-Datum des AMCore-Inhalts neuer ist als das Ablaufdatum der EXTRA.DAT-Datei, wird die EXTRA.DAT-Datei als abgelaufen angesehen. Sie wird dann vom Modul nicht mehr geladen und verwendet. Bei der nächsten Aktualisierung wird die EXTRA.DAT-Datei vom System entfernt. Wenn die nächste Aktualisierung von AMCore-Inhalten Informationen in der EXTRA.DAT-Datei enthält, wird die EXTRA.DAT-Datei entfernt. EXTRA.DAT-Dateien werden von Endpoint Security im Ordner "c:\programme\gemeinsame Dateien\McAfee \Engine\content\avengine\extradat" gespeichert. Herunterladen und Bereitstellen einer EXTRA.DAT-Datei in Client-Systemen über McAfee epo auf Seite 37 Funktionsweise von Inhaltsdateien auf Seite 19 Herunterladen und Bereitstellen einer EXTRA.DAT-Datei in Client- Systemen über McAfee epo Laden Sie die EXTRA.DAT-Datei herunter und installieren Sie sie. Stellen Sie die Datei dann über einen Client-Produktaktualisierungs-Task in Client-Systemen bereit. Mit einer EXTRA.DAT-Datei werden Erkennungen unterdrückt, die als False-Positives betrachtet werden. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 37

38 3 Verwalten des Moduls Adaptiver Bedrohungsschutz Handhabung von neuen False-Positives mit Extra.DAT-Dateien Vorgehensweise 1 Laden Sie die EXTRA.DAT-Datei herunter. a Klicken Sie auf den von McAfee Labs bereitgestellten Download-Link, geben Sie einen Speicherort für die EXTRA.DAT-Datei an, und klicken Sie dann auf Speichern. b Extrahieren Sie die Datei EXTRA.ZIP gegebenenfalls. 2 Wählen Sie Menü Software Master-Repository aus. 3 Wählen Sie Aktionen Pakete einchecken aus. 4 Wählen Sie EXTRA.DAT-Datei (.DAT) aus, navigieren Sie zum Speicherort der heruntergeladenen Datei, und klicken Sie auf Öffnen. 5 Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Weiter. Auf der Seite Master-Repository wird das neue Inhaltspaket in der Spalte Name angezeigt. 6 Replizieren Sie die EXTRA.DAT-Datei auf Spiegel-Sites, falls zutreffend. Führen Sie einen McAfee Agent-Client-Task für Spiegel-Repositorys aus. Bewährte Methode: Wenn Sie die Arbeit mit der EXTRA.DAT-Datei beendet haben, sollten Sie sie aus dem Master-Repository entfernen und einen Client-Task für Spiegel-Repositorys ausführen, um sie aus allen verteilten Repositorys zu entfernen. Das Entfernen der EXTRA.DAT-Datei verhindert, dass die Datei während einer Aktualisierung durch Clients heruntergeladen wird. Standardmäßig wird die Erkennung für die neue Bedrohung in der EXTRA.DAT-Datei ignoriert, sobald die neue Erkennungsdefinition den täglichen Inhaltsdateien hinzugefügt wurde. 7 Stellen Sie die EXTRA.DAT-Datei in Client-Systemen mit einem McAfee Agent-Client-Produktaktualisierungs-Task bereit. 8 Senden Sie einen Aufruf zur Agentenreaktivierung, um die Client-Systeme mit der EXTRA.DAT-Datei zu aktualisieren. Funktionsweise von Inhaltsdateien auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

39 4 Überwachen 4 der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Inhalt Überprüfen der letzten Ereignisse auf Bedrohungen Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz Server-Tasks und das Modul Adaptiver Bedrohungsschutz Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz Überprüfen der letzten Ereignisse auf Bedrohungen Überprüfen Sie die letzten Ereignisse auf Informationen zu identifizierten Bedrohungen für Ihre Systeme. Sie können erzwungene oder beobachtete Ereignisse anzeigen: Erzwingungsereignisse: Diese Ereignisse treten als Ergebnis einer erzwungenen Richtlinie des Servers für Adaptiver Bedrohungsschutz auf. Beobachtete Ereignisse: Ereignisse wie Würde blockiert werden, mit denen darauf hingewiesen wird, welche Aktion bei Erzwingung der Richtlinie ausgeführt würde. Sie können Richtlinien- und Konfigurationseinstellungen anzeigen, testen und anpassen, bevor diese erzwungen werden. Sie können sehen, durch welche Dateien oder Zertifikate Ereignisse verursacht werden, und die zugehörigen Reputationseinstellungen entsprechend ändern, sodass keine Ereignisse mehr generiert werden. Sie haben verschiedene Möglichkeiten, Bedrohungsereignisse anzuzeigen und nach weiteren Informationen aufzugliedern: Letzte 30 Tage: Übersichtsinformationen für Ereignisse der letzten 30 Tage Top 10: Die Top-10-Ereignisse nach System, Datei oder Zertifikat Zertifikat: Der Zertifikatname, der SHA-1-Hash-Wert und die Anzahl der Zertifikate, die gesäubert, eingeschlossen oder blockiert wurden oder für die Eingabeaufforderungen angezeigt wurden. Datei-Hash: Der Dateiname und der SHA-1-Hash-Wert sowie die Anzahl der Dateien, die gesäubert, isoliert oder blockiert wurden oder für die Eingabeaufforderungen angezeigt wurden. Regel: Der Regelname, die Ereignisse, auf die die Regel angewendet wurde, und die Anzahl der Regeln, die gesäubert, isoliert oder blockiert wurden oder für die Eingabeaufforderungen angezeigt wurden. System: Der Systemname, die Gesamtanzahl der Ereignisse für das System und die Anzahl der Ereignisse auf einem bestimmten System, die gesäubert, eingeschlossen oder blockiert wurden bzw. für die eine Eingabeaufforderung ausgegeben wurde. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 39

40 4 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Überprüfen der letzten Ereignisse auf Bedrohungen Beispiele Dort sehen Sie Details zu den jeweiligen Dateien oder Zertifikaten, durch die die Eingabeaufforderungen verursacht werden. Wählen Sie auf der Seite Ereignisse einzelne Dateien oder Zertifikate aus, und ändern Sie ihre Reputationsstufen in Zulassen oder Blockieren, damit keine Eingabeaufforderungen mehr generiert werden. Wenn Ereignisse durch eine bestimmte Datei generiert werden, wählen Sie die Datei in der Liste auf der Seite Ereignisse aus. Überprüfen Sie, auf welchen Systemen versucht wurde, die Datei auszuführen, und welche Aktion ausgeführt wurde. Dann können Sie die Reputation der Datei ändern, damit keine Ereignisse mehr generiert werden. Wenn beispielsweise durch die Datei eine Eingabeaufforderung generiert wird und die Datei blockiert werden soll, ändern Sie die Reputation so, dass die Datei blockiert wird und kein Ereignis generiert wird. Feststellen der Dateiverbreitung im Beobachtungsmodus auf Seite 23 Überprüfung der Details zu den letzten Bedrohungsereignissen auf Seite 40 Reagieren auf Ereignisse auf Seite 40 Überprüfung des Ereignisprotokolls auf neueste Aktivität auf Seite 61 Überprüfung der Details zu den letzten Bedrohungsereignissen Zeigen Sie Informationen zu den letzten in der Umgebung erkannten Dateien und Zertifikaten sowie zu den als Reaktion auf eine identifizierte Bedrohung ausgeführten Aktionen an. Vorgehensweise 1 Wählen Sie Menü Berichterstellung Adaptiver Bedrohungsschutz Ereignisse aus. Auf der Seite Adaptiver Bedrohungsschutz Ereignisse werden verschiedene Ansichten der letzten Ereignisse angezeigt. 2 Wählen Sie in der Dropdown-Liste Ereignisansicht auswählen den anzuzeigenden Ereignistyp aus. Unter Erzwungene Ereignisse werden erzwungene Richtlinienereignisse sowie die ausgeführten Aktionen angezeigt. Unter Beobachtete Ereignisse werden die beobachteten Richtlinienereignisse wie Würde blockieren angezeigt, bei denen keine Aktion ausgeführt wurde. 3 Wählen Sie ein Diagramm aus, um detaillierte Informationen anzuzeigen. 4 Wählen Sie in der Dropdown-Liste Pivotpunkt auswählen aus, wie die Ereignisse angezeigt werden sollen: nach Zertifikat, Datei-Hash, Regel oder System. Wählen Sie dann in der Liste ein bestimmtes Element aus, um weitere Details anzuzeigen. Reagieren auf Ereignisse auf Seite 40 Reagieren auf Ereignisse Passen Sie Datei- und Zertifikat-Reputationen an, um Bedrohungen und andere Ereignisse zu verhindern. Verwenden Sie die Informationen auf der Seite Adaptiver Bedrohungsschutz Ereignisse. Vorgehensweise 1 Wählen Sie Menü Berichterstellung Adaptiver Bedrohungsschutz Ereignisse aus. Auf der Seite Adaptiver Bedrohungsschutz Ereignisse werden die Elemente angezeigt, von denen Ereignisse generiert werden. 40 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

41 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz 4 2 Auf der Seite Ereignisse sehen Sie die Elemente, von denen Ereignisse generiert werden. Klicken Sie auf ein Ereignis, um die Details anzuzeigen. 3 Wenn Sie eine Datei oder ein Zertifikat ausgewählt haben, durch die bzw. durch das basierend auf der Reputation eine Blockierung oder Eingabeaufforderung verursacht wird, ändern Sie die Reputationseinstellung, um das Ereignis zu beenden. Die Reputation wird mit den Optionen im Menü Aktionen geändert. Überprüfung der Details zu den letzten Bedrohungsereignissen auf Seite 40 Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz Mithilfe des benutzerdefinierten Dashboards können Sie Informationen zum Status Ihrer verwalteten Systeme und zu Bedrohungen in Ihrer Umgebung abrufen. Dashboards sind Sammlungen von Monitoren zur Verfolgung der Aktivität in Ihrer McAfee epo-umgebung. Standard-Dashboards und -Monitore Das Modul enthält Standard-Dashboards und -Monitore. Abhängig von Ihren Berechtigungen können Sie Dashboards wie vorgegeben verwenden, sie zum Hinzufügen oder Entfernen von Monitoren ändern oder mithilfe von McAfee epo benutzerdefinierte Dashboards erstellen. Das Modul Adaptiver Bedrohungsschutz umfasst die folgenden vordefinierten Dashboards. Dashboard Überwachen Beschreibung Endpoint Security: Adaptiver Bedrohungsschutz erzwungene Ereignisse Endpoint Security: Adaptiver Bedrohungsschutz beobachtete Ereignisse Endpoint Security Adaptiver Bedrohungsschutz: Säuberungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Blockierungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Zulassungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Säuberungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Blockierungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Zulassungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Säuberungsereignisse in den letzten 30 Tagen Ereignisse für Aktionen, die basierend auf der Richtlinie des Moduls Adaptiver Bedrohungsschutz erkannt und erzwungen wurden. Ereignisse wie Würde blockieren für Aktionen, die durchgeführt worden wären, wenn die Aktionen des Moduls Adaptiver Bedrohungsschutz erzwungen gewesen wären. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 41

42 4 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Dashboards, Monitore und das Modul Adaptiver Bedrohungsschutz Dashboard Überwachen Beschreibung Endpoint Security: Adaptiver Bedrohungsschutz Real Protect-Erkennungsereignisse Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Blockierungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Zulassungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Säuberungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Blockierungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Zulassungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 24 Stunden Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 7 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse im letzten Quartal Ereignisse für Bedrohungserkennungen und Aktionen, die vom Real Protect-Scanner durchgeführt wurden. Benutzerdefinierte Dashboards Abhängig von Ihren Berechtigungen können Sie benutzerdefinierte Dashboards erstellen und Monitore mit Endpoint Security-Standardabfragen hinzufügen. Informationen zu Dashboards finden Sie in der McAfee epo-dokumentation. Feststellen der Dateiverbreitung im Beobachtungsmodus auf Seite 23 Verwenden von Berechtigungssätzen auf Seite McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

43 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz 4 Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz Mithilfe von Abfragen können Sie detaillierte Informationen zum Status Ihrer verwalteten Systeme und zu Bedrohungen in Ihrer Umgebung abrufen. Sie können Abfragen exportieren, herunterladen, zu Berichten zusammenfassen und als Dashboard-Monitore verwenden. Abfragen sind Fragen, die Sie an McAfee epo stellen und die in Diagramm- und Tabellenform beantwortet werden. In Berichten können Sie Informationen aus einer oder mehreren Abfragen in einem einzigen PDF-Dokument bündeln, um außerhalb von McAfee epo darauf zuzugreifen. Ähnliche Informationen sind auch in den Aktivitätsprotokollen verfügbar, auf die im Endpoint Security-Client auf einzelnen Systemen zugegriffen werden kann. Sie können Abfragedaten nur für Ressourcen anzeigen, für die Sie über entsprechende Berechtigungen verfügen. Wenn Sie beispielsweise berechtigt sind, auf einen bestimmten Speicherort in der Systemstruktur zuzugreifen, werden für Ihre Abfragen nur Daten für diesen Speicherort zurückgegeben. Standardabfragen Durch das Modul werden Standardabfragen zu McAfee-Gruppen hinzugefügt. Abhängig von Ihren Berechtigungen können Sie diese wie vorgegeben verwenden, sie ändern oder benutzerdefinierte Abfragen aus Ereignissen und Eigenschaften in der McAfee epo-datenbank erstellen. Endpoint Security Adaptiver Bedrohungsschutz: Zulassungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Zulassungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Zulassungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Blockierungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Blockierungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Blockierungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Säuberungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Säuberungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Säuberungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Ereignisse nach Datei (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Ereignisse nach System (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Zulassungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Zulassungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Zulassungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Blockierungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Blockierungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Blockierungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Säuberungsereignisse nach Ereignistyp Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Säuberungsereignisse nach Regel (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Säuberungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Ereignisse nach Datei (Top 10) McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 43

44 4 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Abfragen, Berichte und das Modul Adaptiver Bedrohungsschutz Endpoint Security Adaptiver Bedrohungsschutz: Beobachtete Ereignisse nach System (Top 10) Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 30 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 7 Tagen Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse im letzten Quartal Endpoint Security Adaptiver Bedrohungsschutz: Real Protect-Erkennungsereignisse in den letzten 24 Stunden Benutzerdefinierte Abfragen Durch das Modul werden Standardeigenschaften zur Funktionsgruppe Endpoint Security hinzugefügt. Mithilfe dieser Eigenschaften können Sie benutzerdefinierte Abfragen erstellen. Funktionsgruppe Ergebnistyp Eigenschaft (Spalte) Eigenschaft (Spalte) Endpoint Security ATP-HotFix Real Protect-Inhaltsdaten Endpoint Security Threat Intelligence Eigenschaften Ereignisse Adaptiver Bedrohungsschutz Ereignisse Adaptiver Bedrohungsschutz Regeln Endpoint Security-Plattformsysteme ATP-Patch-Version Verbindungsstatus Eingeschlossene Anwendungen Ist unterstütztes Betriebssystem Lizenzstatus DAT-Version HotFix/Patch-Version Sicherheit ausgleichen für Ersteller des Zertifikats (Unternehmen) Zertifikat-Hash Zertifikatname Hash des öffentlichen Schlüssels des Zertifikats Inhaltsversion Erkennungstyp Ersteller der Datei (Unternehmen) Beschreibung Lange Beschreibung Protokollierung der Fehlerbehebung für Modul Adaptiver Bedrohungsschutz aktiviert Real Protect-Inhaltsversion Real Protect-Moduldaten Real Protect-Modulversion Signaturen in der Extra.DAT-Datei Produktversion MD5-Hash der Datei Datei-Reputation SHA1-Hash der Datei Objekttyp Real Protect Scans Sensibilitätsstufe Regel-ID Kommentare zur Eingabeaufforderung für Benutzer Regelname Informationen zu Abfragen und Berichten finden Sie in der McAfee epo-dokumentation. Filterstufe der Ereignisse des Moduls Adaptiver Bedrohungsschutz 44 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

45 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Server-Tasks und das Modul Adaptiver Bedrohungsschutz 4 Feststellen der Dateiverbreitung im Beobachtungsmodus auf Seite 23 Verwenden von Berechtigungssätzen auf Seite 26 Server-Tasks und das Modul Adaptiver Bedrohungsschutz Automatisieren Sie die Server-Verwaltung oder -Wartung mithilfe von Server-Tasks. Server-Tasks sind geplante Verwaltungs- oder Wartungs-Tasks, die Sie auf Ihrem McAfee epo-server ausführen. Mit Server-Tasks können Sie regelmäßige Tasks planen und automatisieren. Verwenden Sie Server-Tasks, um Ihren Server und Ihre Software zu überwachen. Abhängig von Ihren Berechtigungen können Sie Standard-Server-Tasks wie vorgegeben verwenden, sie bearbeiten oder mithilfe von McAfee epo neue Server-Tasks erstellen. Standard-Server-Tasks Im Modul Adaptiver Bedrohungsschutz werden keine Standard-Server-Tasks bereitgestellt. Sie können standardmäßige McAfee epo-server-tasks für die Verwaltung des Moduls Bedrohungsschutz verwenden. Benutzerdefinierte Server-Tasks Führen Sie zum Erstellen eines benutzerdefinierten Server-Tasks den Generator für Server-Tasks aus, und wählen Sie eine der Optionen aus der Dropdown-Liste Aktion aus. Server-Tasks Repository-Abruf Abfrage ausführen Bedrohungsereignisprotokoll bereinigen Richtlinien exportieren Abfragen exportieren Daten zusammenfassen Beschreibung Ruft Pakete aus der Quellsite ab und legt sie im Master-Repository ab. Wählen Sie den Pakettyp AMCore-Inhalt aus, um Inhaltsaktualisierungen automatisch abzurufen. Führt Standardabfragen gemäß einem Zeitplan zu einem bestimmten Zeitpunkt aus. Bereinigt Bedrohungsereignisprotokolle basierend auf einer Abfrage. Lädt eine XML-Datei herunter, die die zugeordnete Richtlinie enthält. Erstellt eine Abfragenausgabedatei, die gespeichert oder per gesendet werden kann. Fasst System- oder Ereignisdaten von mehreren Servern gleichzeitig zusammen. Wählen Sie Endpoint Security Zusammengefasste Bedrohungsereignisse als Datentyp aus. Informationen zu Server-Tasks finden Sie in der McAfee epo-dokumentation. Verwenden von Berechtigungssätzen auf Seite 26 Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 Zusammengefasste System- oder Ereignisdaten für Endpoint Security auf Seite 46 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 45

46 4 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz Zusammengefasste System- oder Ereignisdaten für Endpoint Security Kompilieren Sie mithilfe der McAfee epo-server-tasks Daten zusammenfassen gleichzeitig Daten von mehreren Servern. Vorgehensweise 1 Wählen Sie die Optionen Menü Automatisierung Server-Tasks aus, und klicken Sie dann auf Neuer Task. 2 Geben Sie auf der Seite Beschreibung einen Namen und eine Beschreibung für den Task ein, und legen Sie fest, ob er aktiviert werden soll. Klicken Sie anschließend auf Weiter. 3 Klicken Sie auf Aktionen, und wählen Sie Daten zusammenfassen aus. 4 Wählen Sie in der Dropdown-Liste Daten zusammenfassen von: eine der folgenden Optionen aus: Allen registrierten Servern Ausgewählten registrierten Servern Wählen Sie die gewünschten Server aus, und klicken Sie auf OK. 5 So fassen Sie Systemdaten zusammen: a Wählen Sie unter Datentyp die Option Verwaltete Systeme aus. b Klicken Sie auf den Link Zusätzliche Typen: Konfigurieren, und wählen Sie die einzuschließenden Endpoint Security-Typen aus. 6 So fassen Sie Ereignisdaten zusammen: a Klicken Sie auf die Schaltfläche + am Ende der Tabellenüberschrift, um einen weiteren Datentyp hinzuzufügen, und wählen Sie Bedrohungsereignisse aus. b Klicken Sie auf Zusätzliche Typen: Konfigurieren, und wählen Sie die einzuschließenden Endpoint Security-Typen aus. 7 Planen Sie den Task, und klicken Sie dann auf Weiter. 8 Überprüfen Sie die Einstellungen, und klicken Sie dann auf Speichern. Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz Konfigurieren Sie die Automatischen Reaktionen als Reaktion auf Bedrohungsereignisse. Das Bedrohungsereignisprotokoll ist eine Protokolldatei mit allen Bedrohungsereignissen, die McAfee epo von verwalteten Systemen erhält. In McAfee epo können Sie die an den McAfee epo-server weiterzuleitenden Ereignisse festlegen. Gehen Sie zur Anzeige einer vollständigen Liste der McAfee epo-ereignisse zu Menü Konfiguration Server-Einstellungen, wählen Sie Ereignisfilterung, und klicken Sie auf Bearbeiten. Richten Sie den Server-Task Bedrohungsereignisprotokoll bereinigen ein, um das Bedrohungsereignisprotokoll regelmäßig zu bereinigen. Informationen zu Automatische Reaktionen und zum Arbeiten mit dem Bedrohungsereignisprotokoll finden Sie in der McAfee epo-hilfe. 46 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

47 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz 4 Feststellen der Dateiverbreitung im Beobachtungsmodus auf Seite 23 Namen und Speicherorte von Protokolldateien des Moduls Adaptiver Bedrohungsschutz auf Seite 62 Server-Tasks und das Modul Adaptiver Bedrohungsschutz auf Seite 45 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 47

48 4 Überwachen der Aktivitäten des Moduls "Adaptiver Bedrohungsschutz" mit McAfee epo Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz 48 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

49 5 Verwenden 5 des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Inhalt Reagieren auf eine Aufforderung bei Datei-Reputation Deaktivieren von Endpoint Security-Scannern über die McAfee-Taskleiste Überprüfen des Verbindungsstatus Reagieren auf eine Aufforderung bei Datei-Reputation Wenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem System auszuführen, erhalten Sie vom Modul Adaptiver Bedrohungsschutz möglicherweise eine Eingabeaufforderung, um fortzufahren. Die Eingabeaufforderung wird nur angezeigt, wenn das Modul Adaptiver Bedrohungsschutz installiert und zur Ausgabe einer Eingabeaufforderung konfiguriert ist. Der Adaptiver Bedrohungsschutz ist darauf angewiesen, dass über das Taskleistensymbol des McAfee-Systems Eingabeaufforderungen angezeigt werden. Bei Systemen, auf die nur über eine Remote-Desktop-Verbindung zugegriffen wird, startet das Taskleistensymbol des Systems nicht, und es werden keine Eingabeaufforderungen angezeigt. Fügen Sie die Datei UpdaterUI.exe zum Anmeldeskript hinzu, um dieses Problem zu umgehen. Der Administrator konfiguriert den Reputationsschwellenwert, bei dem eine Eingabeaufforderung angezeigt wird. Ist der Reputationsschwellenwert beispielsweise "Unbekannt", erhalten Sie von Endpoint Security Eingabeaufforderungen für sämtliche Dateien mit unbekannter Reputation und darunter. Wenn Sie keine Option auswählen, wird die vom Administrator konfigurierte Standardaktion durch das Modul Adaptiver Bedrohungsschutz ausgeführt. Eingabeaufforderung, Zeitüberschreitung und Standardaktion hängen von der Konfiguration des Moduls Adaptiver Bedrohungsschutz ab. In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen und Aufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodus anzuzeigen. Vorgehensweise 1 (Optional) Geben Sie in der Aufforderung eine Nachricht ein, die an den Administrator gesendet werden soll. Sie können diese Nachricht beispielsweise dazu verwenden, um die Datei zu beschreiben oder um Ihre Entscheidung, die Datei auf Ihrem System zuzulassen oder zu blockieren, zu erläutern. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 49

50 5 Verwenden des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Deaktivieren von Endpoint Security-Scannern über die McAfee-Taskleiste 2 Klicken Sie auf Zulassen oder Blockieren. Zulassen Blockieren Lässt die Datei zu. Blockiert die Datei auf Ihrem System. Damit für die Datei keine Eingabeaufforderung durch das Modul Adaptiver Bedrohungsschutz mehr angezeigt wird, wählen Sie Diese Entscheidung speichern aus. Die auf Ihrer Auswahl oder der Standardaktion basierende Aktion wird vom Modul Adaptiver Bedrohungsschutz ausgeführt, und das Aufforderungsfenster wird geschlossen. Funktionsweise des Moduls Adaptiver Bedrohungsschutz auf Seite 10 Bestimmung einer Reputation auf Seite 14 Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System auf Seite 58 Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen auf Seite 14 Deaktivieren von Endpoint Security-Scannern über die McAfee- Taskleiste Wenn konfiguriert, können Benutzer Leistungsprobleme beheben, indem sie vorübergehend Endpoint Security-Scanner über das McAfee-Taskleistensymbol deaktivieren. Die Scanner werden basierend auf den Einstellungen in der Richtlinie bei der nächsten Richtlinienerzwingung erneut aktiviert. Diese Option ist je nach konfigurierten Einstellungen möglicherweise nicht verfügbar. Vorgehensweise 1 Klicken Sie mit der rechten Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie im Menü Schnellkonfiguration die Option Endpoint Security-Scanner deaktivieren aus. 2 Führen Sie zum erneuten Aktivieren der Scanner einen der folgenden Schritte aus: Warten Sie auf die nächste Richtlinienerzwingung. Klicken Sie mit der rechten Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie den McAfee Agent-Statusmonitor aus. Klicken Sie im McAfee Agent-Monitor auf Richtlinien erzwingen. Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System auf Seite 58 Überprüfen des Verbindungsstatus Um zu ermitteln, ob das Modul Adaptiver Bedrohungsschutz auf dem Client-System Datei-Reputationen vom TIE-Server oder von McAfee GTI erhält, überprüfen Sie die Endpoint Security-Client-Seite Informationen. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Wählen Sie im Menü Aktion die Option Informationen aus. 3 Klicken Sie auf der linken Seite auf Adaptiver Bedrohungsschutz. 50 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

51 Verwenden des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Überprüfen des Verbindungsstatus 5 Im Feld Verbindungsstatus wird einer der folgenden Status für Adaptiver Bedrohungsschutz angezeigt: Bedrohungsabwehrdatenverbindung: Mit dem TIE-Server verbunden, um Reputationsinformationen auf Unternehmensebene zu erhalten Nur McAfee GTI-Verbindung: Mit McAfee GTI verbunden, um Reputationsinformationen auf globaler Ebene zu erhalten Getrennt: Nicht mit dem TIE-Server oder McAfee GTI verbunden. Die Datei-Reputation wird vom Modul Adaptiver Bedrohungsschutz mithilfe von Informationen auf dem lokalen System ermittelt. Funktionsweise des Moduls Adaptiver Bedrohungsschutz auf Seite 10 Überwachen von Aktivitäten mit Real Protect-Scans auf Seite 20 Bestimmung einer Reputation auf Seite 14 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 51

52 5 Verwenden des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Überprüfen des Verbindungsstatus 52 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

53 6 Verwalten 6 des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Inhalt Laden einer EXTRA.DAT-Datei auf einem Client-System Dynamisches Einschließen von Anwendungen Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Laden einer EXTRA.DAT-Datei auf einem Client-System Laden Sie die EXTRA.DAT-Datei herunter, und verwenden Sie den Endpoint Security-Client, um sie zu laden. Bevor Sie beginnen Legen Sie den Schnittstellenmodus für den Endpoint Security-Client auf Vollzugriff fest, oder melden Sie sich als Administrator an. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Wählen Sie im Menü Aktion die Option EXTRA.DAT-Datei laden aus. 3 Klicken Sie auf Durchsuchen, navigieren Sie zu dem Speicherort, in den die EXTRA.DAT-Datei heruntergeladen wurde, und klicken Sie dann auf Öffnen. 4 Klicken Sie auf Übernehmen. Die neuen Informationen zu Erkennungen in der EXTRA.DAT-Datei werden umgehend wirksam. Funktionsweise von Inhaltsdateien auf Seite 19 Dynamisches Einschließen von Anwendungen In der dynamischen Anwendungsbeschränkung können Sie festlegen, dass Anwendungen mit bestimmten Reputationen in einem Container ausgeführt werden. Durch eingeschlossene Anwendungen dürfen bestimmte durch Einschlussregeln festgelegte Aktionen nicht ausgeführt werden. Basierend auf dem Reputationsschwellenwert wird vom Adaptiver Bedrohungsschutz angefordert, dass die Anwendung durch die dynamische Anwendungsbeschränkung in einem Container ausgeführt wird. McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 53

54 6 Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Dynamisches Einschließen von Anwendungen Mit dieser Technologie können Sie unbekannte und potenziell unsichere Anwendungen überprüfen, indem Sie deren Ausführung in Ihrer Umgebung mit einem eingeschränkten Aktionsumfang zulassen. Benutzer können die Anwendungen verwenden; diese funktionieren jedoch möglicherweise nicht wie erwartet, da bestimmte Aktionen durch die dynamische Anwendungsbeschränkung blockiert werden. Wenn Sie feststellen, dass eine Anwendung sicher ist, können Sie Endpoint Security Adaptiver Bedrohungsschutz oder den TIE-Server so konfigurieren, dass die Anwendung normal ausgeführt wird. Verwenden der dynamischen Anwendungsbeschränkung 1 Aktivieren Sie das Modul Adaptiver Bedrohungsschutz, und geben Sie in den Einstellungen für die Optionen den Reputationsschwellenwert für das Auslösen der dynamischen Anwendungsbeschränkung an. 2 Konfigurieren Sie die von McAfee definierten Einschlussregeln und Ausschlüsse in den Einstellungen für Dynamische Anwendungsbeschränkung. Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung auf einem Client-System Mit der dynamischen Anwendungsbeschränkung können Sie festlegen, dass Anwendungen mit einer bestimmten Reputation in einem Container ausgeführt werden, sodass nur in begrenztem Umfang Aktionen möglich sind. Aktivieren Sie die Erzwingung von Aktionen für die Funktion, und definieren Sie den Reputationsschwellenwert für das Einschließen von Anwendungen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff festgelegt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Klicken Sie auf der Status-Hauptseite auf Adaptiver Bedrohungsschutz. Sie können auch im Menü Aktion die Option Einstellungen auswählen und dann auf der Seite Adaptiver Bedrohungsschutz auf Einstellungen klicken. 3 Klicken Sie auf Erweiterte einblenden. 4 Klicken Sie auf Optionen. 5 Überprüfen Sie, ob das Modul Adaptiver Bedrohungsschutz aktiviert ist. 6 Wählen Sie Dynamische Anwendungsbeschränkung ab folgendem Reputationsschwellenwert auslösen aus. 7 Geben Sie den Reputationsschwellenwert an, ab dem Anwendungen eingeschlossen werden sollen. Möglicherweise vertrauenswürdig Unbekannt (Standard für die Regelgruppe Sicherheit) Möglicherweise bösartig (Standard für die Regelgruppe Ausgleich) Höchstwahrscheinlich bösartig (Standard für die Regelgruppe Produktivität) Als bösartig bekannt 54 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

55 Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Dynamisches Einschließen von Anwendungen 6 Der Reputationsschwellenwert für die dynamische Anwendungsbeschränkung muss höher als der Schwellenwert für Blockieren und Säubern sein. Wenn beispielsweise der Schwellenwert für Blockieren auf Als bösartig bekannt festgelegt ist, muss der Schwellenwert für die dynamische Anwendungsbeschränkung auf Höchstwahrscheinlich bösartig oder höher festgelegt werden. 8 Klicken Sie auf Übernehmen. Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System auf Seite 58 Konfigurieren der von McAfee definierten Einschlussregeln auf einem Client-System Mit von McAfee definierten Einschlussregeln werden Aktionen, die von eingeschlossenen Anwendungen ausgeführt werden können, blockiert oder protokolliert. Sie können die Blockierungs- und Meldungseinstellungen ändern, die Regeln jedoch nicht anderweitig ändern oder löschen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff festgelegt sein, oder Sie müssen als Administrator angemeldet sein. Weitere Informationen zu Regeln für die dynamische Anwendungsbeschränkung sowie bewährte Methoden zum Festlegen einer Regel auf "Melden" oder "Blockieren" finden Sie unter KB Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Klicken Sie auf der Status-Hauptseite auf Adaptiver Bedrohungsschutz. Sie können auch im Menü Aktion die Option Einstellungen auswählen und dann auf der Seite Adaptiver Bedrohungsschutz auf Einstellungen klicken. 3 Klicken Sie auf Erweiterte einblenden. 4 Klicken Sie auf Dynamische Anwendungsbeschränkung. 5 Wählen Sie im Abschnitt Einschlussregeln für die Regel die Option Blockieren oder Melden bzw. beide Optionen aus. Wählen Sie in der ersten Zeile Blockieren oder Melden aus, um alle zu blockieren bzw. zu melden. Sie können die Regel deaktivieren, indem Sie sowohl Blockieren als auch Melden deaktivieren. 6 Konfigurieren Sie im AbschnittAusschlüsse ausführbare Dateien, die von der dynamischen Anwendungsbeschränkung ausgeschlossen werden sollen. Die Prozesse in der Liste Ausschlüsse werden normal ausgeführt (nicht eingeschlossen). 7 Klicken Sie auf Übernehmen. Funktionsweise des Moduls Adaptiver Bedrohungsschutz auf Seite 10 Funktionsweise der dynamischen Anwendungsbeschränkung auf Seite 21 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 55

56 6 Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Dynamisches Einschließen von Anwendungen Verwalten eingeschlossener Anwendungen auf einem Client-System Wenn eine vertrauenswürdige Anwendung über die dynamische Anwendungsbeschränkung eingeschlossen wird, können Sie diese über den Endpoint Security-Client von dem Einschluss ausschließen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff festgelegt sein, oder Sie müssen als Administrator angemeldet sein. Durch das Ausschließen wird die Anwendung freigegeben, aus Eingeschlossene Anwendungen entfernt und den Ausschlüssen hinzugefügt, damit sie zukünftig nicht mehr eingeschlossen wird. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Klicken Sie auf der Status-Hauptseite auf Adaptiver Bedrohungsschutz. Sie können auch im Menü Aktion die Option Einstellungen auswählen und dann auf der Seite Adaptiver Bedrohungsschutz auf Einstellungen klicken. 3 Klicken Sie auf Erweiterte einblenden. 4 Klicken Sie auf Dynamische Anwendungsbeschränkung. 5 Wählen Sie im Abschnitt Eingeschlossene Anwendungen die Anwendung aus, und klicken Sie auf Ausschließen. 6 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen die Eigenschaften der ausführbaren Datei, und klicken Sie dann auf Speichern. Daraufhin wird die Anwendung in der Liste Ausschlüsse angezeigt. Die Anwendung verbleibt solange in der Liste Eingeschlossene Anwendungen, bis Sie auf Übernehmen klicken. Wenn Sie zur Seite Einstellungen zurückkehren, wird die Anwendung nur in der Liste Ausschlüsse angezeigt. 7 Klicken Sie auf Übernehmen. Verhindern des Einschlusses vertrauenswürdiger Programme durch die dynamische Anwendungsbeschränkung auf einem Client-System auf Seite 56 Verhindern des Einschlusses vertrauenswürdiger Programme durch die dynamische Anwendungsbeschränkung auf einem Client-System Wenn ein vertrauenswürdiges Programm eingeschlossen wird, können Sie einen Ausschluss erstellen, mit dem das Programm aus der dynamischen Anwendungsbeschränkung ausgeschlossen wird. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Klicken Sie auf der Status-Hauptseite auf Adaptiver Bedrohungsschutz. Sie können auch im Menü Aktion die Option Einstellungen auswählen und dann auf der Seite Adaptiver Bedrohungsschutz auf Einstellungen klicken. 3 Klicken Sie auf Erweiterte einblenden. 4 Klicken Sie auf Dynamische Anwendungsbeschränkung. 5 Klicken Sie im Abschnitt Ausschlüsse auf Hinzufügen, um Prozesse hinzuzufügen, die von allen Regeln ausgeschlossen werden sollen. 56 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch

57 Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Dynamisches Einschließen von Anwendungen 6 6 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen die Eigenschaften der ausführbaren Datei. 7 Klicken Sie auf Speichern und dann auf Übernehmen, um die Einstellungen zu speichern. Konfigurieren der von McAfee definierten Einschlussregeln auf einem Client-System auf Seite 55 Verwalten eingeschlossener Anwendungen auf einem Client-System auf Seite 56 Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz auf einem Client-System auf Seite 58 Abrufen des definierten Namens des Signaturgebers, um ausführbare Dateien auf einem Client-System auszuschließen Der definierte Name des Signaturgebers (Signer Distinguished Name, SDN) ist erforderlich, wenn Sie die Überprüfung digitaler Signaturen aktivieren und nur Dateien ausschließen, die von einem bestimmten Prozess-Signaturgeber signiert wurden. Vorgehensweise 1 Klicken Sie mit der rechten Maustaste auf eine ausführbare Datei, und wählen Sie Eigenschaften aus. 2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, und klicken Sie auf Details. 3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen. 4 Wählen Sie auf der Registerkarte Details das Feld Antragsteller aus. Der SDN wird angezeigt. Firefox zum Beispiel hat diesen SDN: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Die SDN-Felder werden in umgekehrter Reihenfolge des erforderlichen Formats angezeigt. 5 Kopieren Sie den Inhalt des Felds Antragsteller an einen temporären Speicherort. 6 Bearbeiten Sie die Informationen, um die Reihenfolge der Elemente umzukehren, entfernen Sie Zeilenumbrüche, und trennen Sie die Elemente mit Kommas. Das erforderliche Format für diesen SDN lautet beispielsweise: C=US, S=CALIFORNIA, L=MOUNTAIN VIEW, O=MOZILLA CORPORATION, OU=RELEASE ENGINEERING, CN=MOZILLA CORPORATION 7 Beim Erstellen von Ausschlüssen müssen Sie die Zertifikatdetails kopieren und sie als eine einzige Textzeile in das Feld Signiert von einfügen. Ereignisse, Reaktionen und das Modul Adaptiver Bedrohungsschutz auf Seite 46 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch 57

58 6 Verwalten des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Konfigurieren des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Mit den Einstellungen für das Modul Adaptiver Bedrohungsschutz legen Sie fest, wann eine Datei oder ein Zertifikat ausgeführt werden darf, eingeschlossen, gesäubert oder blockiert wird oder ob Benutzer aufgefordert werden, eine Entscheidung zu treffen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff festgelegt sein, oder Sie müssen als Administrator angemeldet sein. Durch Richtlinienänderungen von McAfee epo werden die Änderungen von der Seite Einstellungen überschrieben. Vorgehensweise 1 Öffnen Sie den Endpoint Security-Client. 2 Klicken Sie auf der Status-Hauptseite auf Adaptiver Bedrohungsschutz. Sie können auch im Menü Aktion die Option Einstellungen auswählen und dann auf der Seite Adaptiver Bedrohungsschutz auf Einstellungen klicken. 3 Klicken Sie auf Erweiterte einblenden. 4 Klicken Sie auf Optionen. 5 Konfigurieren Sie Einstellungen auf der Seite, und klicken Sie dann auf Übernehmen. Aktivieren des Auslösungsschwellenwerts für die dynamische Anwendungsbeschränkung auf einem Client- System auf Seite 54 Überwachen von Aktivitäten mit Real Protect-Scans auf Seite 20 Zugriffssteuerung mithilfe von Datei- und Zertifikat-Reputationen auf Seite 14 Ausschließen von Prozessen von Scans des Moduls Adaptiver Bedrohungsschutz auf einem Client-System Sie können Prozesse von Scans des Moduls Adaptiver Bedrohungsschutz ausschließen, indem Sie sie zu den Einstellungen unter Bedrohungsschutz On-Access-Scan für den Prozesstyp Standard hinzufügen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff festgelegt sein, oder Sie müssen als Administrator angemeldet sein. Bewährte Methode: Informationen zur Fehlerbehebung von blockierten Drittanbieter-Anwendungen finden Sie unter KB Eine Liste mit ausführbaren Dateien, die vom Modul Adaptiver Bedrohungsschutz gescannt wurden, finden Sie im Debug-Protokoll des Moduls Adaptiver Bedrohungsschutz ("AdvancedThreatProtection_Debug.log"). 58 McAfee Endpoint Security Adaptiver Bedrohungsschutz Produkthandbuch