Ansichten:

Konfigurieren Sie, wie die Verhaltensüberwachung auf die Richtlinie angewendet wird.

Wichtig
Wichtig
Die Verhaltensüberwachung ist in allen Versionen der Windows Server-Plattformen standardmäßig deaktiviert.
Bevor Sie die Verhaltensüberwachung konfigurieren, müssen Sie die Funktion aktivieren. Sobald sie aktiviert ist, konfigurieren Sie die folgenden Einstellungen.
Zugehörige Informationen

Überwachungsstufe

Das Überwachungsniveau ist der Grad der Wachsamkeit und Strenge, der bei der Erkennung und Reaktion auf mögliche Bedrohungen angewendet wird. Eine Erhöhung des Niveaus steigert die Empfindlichkeit des Sensors, was die Anzahl der Erkennungen und Warnungen erhöht. Höhere Niveaus ermöglichen eine strengere Überwachung, um bei Situationen wie laufenden Bedrohungsuntersuchungen zu helfen, können jedoch eine große Anzahl nicht wesentlicher Protokolle erzeugen und die Leistung des Endpunkts beeinträchtigen. Trend Micro empfiehlt, das Überwachungsniveau auf 2 - Mäßig einzustellen, um relevantere Daten mit minimalen Auswirkungen auf Ihre Endpunkte auszubalancieren. Einige Komponenten, die von höheren Überwachungsniveaus verwendet werden, sind nicht auf allen Plattformen verfügbar.

Sperrung bei Malware-Verhalten

Die Sperrung bei Malware-Verhalten bietet eine für zusätzlichen Schutz vor Bedrohungen durch Programme, die ein bösartiges Verhalten zeigen, erforderliche Schicht. Sie beobachtet über einen gewissen Zeitraum Systemereignisse. Während Programme verschiedene Kombinationen oder Folgen von Aktionen ausführen, erkennt die Sperrung bei Malware-Verhalten bekanntes bösartiges Verhalten und sperrt die entsprechenden Programme. Verwenden Sie diese Funktion, um einen besseren Schutz vor neuen, unbekannten und aufkommenden Bedrohungen zu gewährleisten.
Die Überwachung des Malware-Verhaltens bietet die folgenden Suchoptionen für Bedrohungsstufen:
  • Bekannte Bedrohungen: Sperrt Verhaltensweisen im Zusammenhang mit bekannten Malware-Bedrohungen
  • Bekannte und potenzielle Bedrohungen: Sperren von mit bekannten Bedrohungen verbundenem Verhalten und Ergreifen von Maßnahmen gegen potenziell bösartiges Verhalten
Nachdem das Sperren eines Programms mit Benachrichtigungen aktiviert wurde, zeigt der Security Agent eine Benachrichtigung auf dem Endpunkt an.

Schutz vor Ransomware

Ransomware-Schutz verhindert die unbefugte änderung oder Verschlüsselung von Dateien auf Agents durch ransomware-Bedrohungen. Ransomware ist eine Art von Malware, die den Zugriff auf Dateien beschränkt und verlangt, dass Sie für die Wiederherstellung der betroffenen Dateien bezahlen.
Apex One bietet die folgenden Methoden zum Schutz Ihrer Umgebung vor Ransomware-Bedrohungen.
Hinweis
Hinweis
Um zu vermeiden, dass der Security Agent einen sicheren Prozess als bösartig einstuft, stellen Sie sicher, dass der Agent Zugriff auf das Internet hat, damit weitere Verifizierungsprozesse unter Verwendung von Trend Micro Servern durchgeführt werden können.
Optionen
Beschreibung
Dokumente vor nicht autorisierter Verschlüsselung oder Veränderung schützen
Sie können Verhaltensüberwachung konfigurieren, um eine bestimmte Sequenz von Ereignissen zu erkennen, die möglicherweise auf einen Ransomware-Angriff hinweisen. Wenn die Verhaltensüberwachung alle der folgenden Kriterien erfüllt, beendet der Security Agent das böswillige Programm und versucht, es unter Quarantäne zu stellen.
  1. Ein Prozess, der nicht als sicher erkannt wird, versucht, drei Dateien innerhalb eines bestimmten Zeitintervalls zu ändern, zu löschen oder umzubenennen.
  2. Der Prozess hat versucht, eine Datei mit einer geschützten Erweiterung zu ändern
Aktivieren Sie zusätzlich die Option Automatically back up files changed by suspicious programs, um Kopien von auf Endpunkten verschlüsselten Dateien zu erstellen. Wenn Apex One nach Abschluss der Verschlüsselung eine Ransomware-Bedrohung entdeckt, fordert Apex One Endbenutzer dazu auf, die betroffenen Dateien ohne Datenverlust wiederherzustellen.
Hinweis
Hinweis
Zur automatischen Dateisicherung werden mindestens 100 MB Festplattenspeicher auf dem Agent-Endpunkt benötigt und es werden nur Dateien gesichert, die kleiner als 10 MB sind.
Der Speicherort des Sicherungsordners auf den Agent-Endpunkt befindet sich unter:<Installationsordner des Agents>\CCSF\module\DRE\data.
Warnung
Warnung
Wenn Automatically back up files changed by suspicious programs nicht aktiviert ist, kann Apex One die ersten von einer Ransomware-Bedrohung betroffenen Dateien nicht wiederherstellen.
Prozesse blockieren, die häufig mit Ransomware verknüpft sind
Vor dem Angriffsversuch auf Dateien werden häufig von Ransomware ausführbare Dateien an bestimmten Speicherorten auf Endpunkten verteilt. Durch das Sperren der Prozesse, die von diesen Speicherorten aus gestartet werden, kann verhindert werden, dass die Ransomware die Dateien angreifen kann.
Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren
Die Programmüberprüfung überwacht Prozesse und führt API-Hooks aus, um festzustellen, ob sich ein Programm unerwartet verhält. Dieser Vorgang erhöht zwar den Gesamtanteil der erkannten gefährdeten ausführbaren Dateien, kann aber die Systemleistung verringern.
Tipp
Tipp
Die Programmüberprüfung stellt erhöhte Sicherheit bereit, wenn Sie Bekannte und potenzielle Bedrohungen im Dropdown-Menü Zu sperrende Bedrohungen auswählen.

Schutz vor Schwachstellen

Schwachstellenschutz und Programmüberprüfung arbeiten zusammen, um das Verhalten von Programmen zu überwachen und ungewöhnliches Verhalten zu erkennen, das unter Umständen darauf hinweist, dass ein Angreifer eine Programmschwachstelle ausgenutzt hat. Wird solches Verhalten erkannt, beendet die Verhaltensüberwachung die Programmprozesse.
Wichtig
Wichtig
Für den Schwachstellenschutz muss die Option Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren ausgewählt werden.

Schutz vor neu erkannten Programmen

Zusammen mit den Web-Reputation-Diensten und der Echtzeitsuche überprüft die Verhaltensüberwachung das bisherige Vorkommen von Dateien, die über Internetkanäle, E-Mail-Anwendungen oder Microsoft Office-Makroskripts heruntergeladen wurden. Sobald eine "neu entdeckte" Datei erkannt wird können Administratoren eine Systemaufforderung an die Benutzer ausgeben, bevor sie die Datei ausführen. Trend Micro stuft ein Programm auf der Grundlage der Anzahl der Dateierkennungen oder des historischen Alters der Datei wie durch das Smart Protection Network als neu gefunden ein.
Die Verhaltensüberwachung überprüft für jeden Kanal die folgenden Dateitypen:
  • Internet (HTTP/HTTPS): .exe-Dateien werden überprüft.
  • E-Mail-Anwendungen:.exe-Dateien und komprimierte .exe-Dateien in unverschlüsselten .zip- und .rar-Dateien werden überprüft.
Hinweis
Hinweis
  • Bevor diese Eingabeaufforderung angezeigt werden kann, müssen Administratoren die Web-Reputation-Dienste auf dem Agent aktivieren, damit der Security Agent HTTP- oder HTTPS-Datenverkehr durchsuchen kann.
  • Der Security Agent führt einen Abgleich mit den Dateinamen durch, die während des Ausführungsvorgangs über E-Mail-Anwendungen heruntergeladen wurden. Wenn der Dateiname geändert wurde, erhält der Benutzer eine Eingabeaufforderung.

Ereignisüberwachung

Die Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nicht autorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche auf bestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zu regulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung, wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinaus spezielle Schutzanforderungen für das System benötigen.
Die folgende Tabelle enthält eine Liste der überwachten Systemereignisse.

Überwachte Systemereignisse

Ereignisse
Beschreibung
KI-App-Guard
Konfigurieren Sie diese Richtlinie so, dass KI-integrierte Anwendungen und zugehörige Dateien vor bösartigen Änderungen geschützt sind.
Hinweis
Hinweis
Eine Liste der Anwendungen, die der KI-App-Guard unterstützt, finden Sie im Wissensdatenbank-Artikel.
Duplizierte Systemdatei
Viele bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet werden. Dies geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen, sich zu verbergen oder zu verhindern, dass Benutzer die bösartigen Dateien löschen.
Änderung der Hosts-Datei
Die Hosts-Datei ordnet Domain-Namen IP-Adressen zu. Zahlreiche bösartige Programme verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden oder falschen Websites umgeleitet wird.
Verdächtiges Verhalten
Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme, die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
Neues Plug-in für den Internet Explorer
Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
Änderungen an Einstellungen des Internet Explorers
Malware-Programme können die Einstellungen im Internet Explorer ändern, einschließlich Startseite, vertrauenswürdiger Websites, Proxy-Servereinstellungen und Menüerweiterungen.
Änderungen der Sicherheitsrichtlinien
Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt und Systemeinstellungen verändert werden.
Injektion einer Programmbibliothek
Viele bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch eine Programmbibliothek (DLL) laden. Dadurch können bösartige Routinen in der DLL bei jedem Start einer Anwendung ausgeführt werden.
Shell-Änderungen
Viele bösartige Programme verändern die Einstellungen der Windows Shell, um sich selbst mit bestimmten Dateitypen zu verknüpfen. Durch diese Routine können bösartige Programme automatisch gestartet werden, wenn Benutzer die verknüpften Dateien im Windows Explorer öffnen. Durch Änderungen in der Windows Shell können bösartige Programme außerdem die verwendeten Programme nachverfolgen und wie rechtmäßige Programme gestartet werden.
Neuer Dienst
Windows Dienste sind Prozesse mit speziellen Funktionen. Sie werden in der Regel dauerhaft und mit vollständigen Administratorberechtigungen im Hintergrund ausgeführt. Bösartige Programme installieren sich in manchen Fällen als versteckte Dienste selbst.
Änderung von Systemdateien
Bestimmte Windows Systemdateien legen das Systemverhalten, einschließlich der Autostart-Programme und der Bildschirmschonereinstellungen, fest. Viele bösartige Programme verändern Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten steuern.
Änderungen der Firewall-Richtlinien
Die Windows Firewall-Richtlinie legt die Anwendungen fest, die auf das Netzwerk zugreifen können, die Ports, die für die Kommunikation geöffnet sind und die IP-Adressen, die mit dem Computer kommunizieren können. Viele bösartige Programme verändern die Richtlinie, um sich den Zugriff auf das Netzwerk und das Internet zu ermöglichen.
Änderungen an Systemprozessen
Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
Neues Autostart-Programm
Bösartige Anwendungen fügen der Windows-Registrierung gewöhnlich Autostart-Einträge hinzu oder ändern diese, so dass sie bei jedem Hochfahren des Computers automatisch gestartet werden.
Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wird die für dieses Ereignis konfigurierte Aktion ausgeführt.
Die folgende Tabelle enthält eine Liste der möglichen Aktionen, die Administratoren bei überwachten Systemereignissen ergreifen können.

Aktionen bei überwachten Systemereignissen

Aktion
Beschreibung
Bewerten
Der Security Agent lässt die Ausführung von Programmen, die einem Ereignis zugeordnet sind, immer zu und protokolliert das Ereignis zwecks Bewertung.
Dies ist die Standardaktion für alle überwachten Systemereignisse.
Hinweis
Hinweis
Diese Option wird für das Ereignis 'Einschleusung in Programmbibliothek' (DLL-Injektion) auf 64-Bit-Systemen nicht unterstützt.
Zulassen
Der Security Agent lässt die Ausführungen von Programmen, die einem Ereignis zugeordnet sind, immer zu.
Bei Bedarf nachfragen
Der Security Agent fordert Benutzer auf, die Ausführung von Programmen, die einem Ereignis zugeordnet sind, zuzulassen oder abzulehnen und fügt die Programme in der Ausnahmeliste hinzu.
Wenn der Benutzer nicht innerhalb eines bestimmten Zeitraums reagiert, lässt der Security Agent die Ausführung des Programms automatisch zu. Der Standardzeitraum beträgt 30 Sekunden.
Hinweis
Hinweis
Diese Option wird für das Ereignis 'Einschleusung in Programmbibliothek' (DLL-Injektion) auf 64-Bit-Systemen nicht unterstützt.
Verweigern
Der Security Agent sperrt stets die Ausführung von Programmen, die einem Ereignis zugeordnet sind, und protokolliert das Ereignis.
Nachdem das Sperren eines Programms mit Benachrichtigungen aktiviert wurde, zeigt der Security Agent eine Benachrichtigung auf dem Endpunkt an.
Keywords: Überwachte Systemereignisse,Aktion bei Systemereignissen,Sperren des Malware-Verhaltens,Aktion bei überwachten Systemereignissen,Ereignisüberwachung