Regeln und Ausnahmen der Verhaltensüberwachung konfigurieren

Prozedur

1. Klicken Sie auf die Registerkarte Regeln.
2. Wählen Sie Verhaltensüberwachung aktivieren.
3. Konfigurieren Sie die Überwachungsstufe-Einstellungen für Erkennung und Prävention.

   Wichtig Höhere Überwachungsstufen bieten eine größere Sensibilität, können jedoch eine große Anzahl nicht wesentlicher Protokolle erzeugen und die Leistung des Endpunkts beeinträchtigen. Trend Micro empfiehlt, 2 - Mäßig auszuwählen, um relevantere Daten mit minimalen Auswirkungen auf Ihre Endpunkte zu erhalten. Die Prävention-Stufe muss gleich oder niedriger als Erkennung sein. Die Auswahl von Bedrohungen zum Sperren kann die Präventionsmaßnahmen für das ausgewählte Präventionsniveau beeinflussen.

4. Wählen Sie aus, welche Bedrohungen zum Sperren.
   • Bekannte Bedrohungen: Hiermit wird mit bekannten Bedrohungen verbundenes Malware-Verhalten blockiert.
   • Bekannte und potenzielle Bedrohungen: Hiermit wird mit bekannten Bedrohungen verbundenes Verhalten blockiert und es werden entsprechende Maßnahmen gegen potenziell bösartiges Verhalten ergriffen.
5. Wählen Sie aus, welche Ransomware-Schutzfunktionen aktiviert werden sollen, um Dokumente vor Ransomware-Bedrohungen zu schützen.
   • Dokumente vor nicht autorisierter Verschlüsselung oder Veränderung schützen: Beendet potentielle Ransomware-Bedrohungen, sodass sie Inhalte von Dokumenten nicht verschlüsseln oder verändern können.
     • Die durch verdächtige Programme geänderten Dateien automatisch sichern und wiederherstellen: Erstellt zur Vermeidung von Datenverlust Sicherungskopien von auf Endpoints verschlüsselten Dateien, nachdem eine Bedrohung durch Ransomware erkannt wurde.

       Hinweis Zur automatischen Dateisicherung werden mindestens 100 MB Festplattenspeicher auf dem Agent-Endpunkt benötigt und es werden nur Dateien gesichert, die kleiner als 10 MB sind.

   • Prozesse sperren, die häufig mit Ransomware verknüpft sind: Sperrt Prozesse, die mit bekannten Ransomware-Bedrohungen verknüpft sind, bevor eine Verschlüsselung oder Veränderung von Dokumenten auftreten kann.
   • Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren: Die Programmüberprüfung überprüft Prozesse und führt API-Hooking durch, um festzustellen, ob ein Programm unerwartetes Verhalten zeigt. Dieses Verfahren erhöht zwar den Gesamterkennungsgrad gefährdeter ausführbarer Dateien, setzt aber möglicherweise die Systemleistung herab.

     Hinweis Die Programmüberprüfung stellt erhöhte Sicherheit bereit, wenn Sie Bekannte und potenzielle Bedrohungen im Dropdown-Menü Zu sperrende Bedrohungen auswählen.

6. Aktivieren Sie unter Schutz vor Schwachstellen die Option Programme beenden, die ungewöhnliches Verhalten im Zusammenhang mit Angriffen auf Schwachstellen zeigen, um Schutz vor Programmen mit Sicherheitslücken bereitzustellen.

   Wichtig Schutz vor Schwachstellen erfordert, dass Sie Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren auswählen. Für weitere Informationen siehe Schutz vor Schwachstellen. Der Schutz vor Schwachstellen arbeitet zusammen mit der Echtzeitsuche (Verschiedene Varianten von Malware in Speicher entdeckt), um einen verbesserten Schutz vor dateilosen Angriffen zu bieten. Weitere Informationen finden Sie unter Echtzeitsuche: Registerkarte "Ziel".

7. Gehen Sie im Abschnitt Ereignisüberwachung wie folgt vor:
   1. Wählen Sie Ereignisüberwachung aktivieren.
   2. Klicken Sie auf Detaillierte Einstellungen angeben, um die Arten der zu überwachenden Ereignisse auszuwählen.
   3. Wählen Sie die zu überwachenden Systemereignisse und wählen Sie eine Aktion für die einzelnen ausgewählten Ereignisse.
      Weitere Informationen zu überwachten Systemereignissen und Aktionen finden Sie unter Ereignisüberwachung.
8. Klicken Sie auf die Registerkarte Ausnahmen, um die Ausnahmelisten zu konfigurieren.
   1. Geben Sie bei der Konfiguration einer übergeordneten Richtlinie an, wie andere Benutzer untergeordnete Richtlinien konfigurieren können.
      • Von übergeordnetem Element erben: Untergeordnete Richtlinien müssen die Einstellungen verwenden, die in der übergeordneten Richtlinie konfiguriert wurden
      • Von übergeordnetem Element erweitern: Untergeordnete Richtlinien können zusätzliche Einstellungen an die Einstellungen anhängen, die von der übergeordneten Richtlinie vererbt wurden

        Hinweis Wenn Ihre Kinderrichtlinien Von übergeordnetem Element erweitern sind, können Sie Einschränkungen der Kinderpolitik konfigurieren, um zu verhindern, dass Kinderrichtlinien bestimmte Regeln zur Liste der Ausnahmeregeln hinzufügen.

   2. Geben Sie den vollständigen Programmpfad in das verfügbare Textfeld ein.

      Hinweis Trennen Sie mehrere Einträge durch Strichpunkte (;) voneinander. Verwenden Sie die Schaltflächen Importieren und Exportieren, um die Liste mit verschiedenen Richtlinien zu teilen. Der Zulässige Liste unterstützt die Verwendung von Platzhalterzeichen. Weitere Informationen finden Sie unter Ausnahmeliste, Unterstützung von Platzhaltern.

   3. Klicken Sie auf Hinzufügen.
   4. Um ein gesperrtes oder zugelassenes Programm aus der Liste zu entfernen, klicken Sie neben dem Programm auf das Papierkorbsymbol ).

      Hinweis In Apex One sind insgesamt maximal 1.024 zugelassene Programme und gesperrte Programme möglich.