Wichtig
Wichtig
Die Endpoint Sensor-Funktion erfordert eine spezielle Lizenzierung und zusätzliche Systemvoraussetzungen. Stellen Sie sicher, dass Sie die richtige Lizenz haben, bevor Sie Endpoint Sensor-Richtlinien auf Endpunkten bereitstellen. Für weitere Informationen zum Erwerb von Lizenzen wenden Sie sich an Ihren Support-Anbieter.
Wenn Ihre Umgebung sowohl Apex One On-Premises als auch Apex One as a Service Security Agents verwaltet, können einige Funktionen im Vergleich zu Apex One as a Service unterschiedlich sein. Apex One as a Service Security Agents senden weiterhin Daten an Trend Micro Server, aber die Untersuchungskapazitäten können sich von der Apex Central as a Service-Konsole unterscheiden.

Prozedur

  1. Wählen Sie Endpoint Sensor aktivieren.
  2. Wählen Sie Ereignisaufzeichnung aktivieren, um mit der Erfassung von Systemereignisprotokollen auf dem Agent-Endpunkt zu beginnen. (nur vor Ort)
    Endpoint Sensor verwendet die Echtzeit-Ereignisprotokolle, um gefährdete Endpunkte bei Untersuchungen zu identifizieren. Nachdem betroffene Windows-Endpunkte identifiziert wurden, können Sie eine gründliche Grundursachenanalyse durchführen, um mögliche Angriffsvektoren besser zu verstehen.
    Optionen
    Beschreibung
    Maximale Datenbankgröße
    (nur vor Ort)
    Geben Sie die maximale Datenbankgröße an, die der Endpoint Sensor verwenden kann, um Ereignisprotokolle auf dem Endpunkt zu speichern. Sobald die Agentendatenbank die maximale Größenbeschränkung erreicht, löscht der Endpoint Sensor die ältesten Protokolle, um Platz für neue Ereigniseinträge zu schaffen.
    Senden Sie einen Teil der Protokolldaten, um historische Untersuchungen durchzuführen
    (nur vor Ort)
    Die an den Server gesendeten Informationen bestehen aus Metadaten, wie Domain, Dateien oder Prozessen auf dem Endpunkt. Endpoint Sensor nutzt die Daten während historischer Untersuchungen, um betroffene Endpunkte zu identifizieren.
    • Upload-Häufigkeit: Geben Sie an, wie oft der Agent die Metadaten an den Server hochlädt.
      Hinweis
      Hinweis
      Je nach Ihrem Netzwerk können häufigere Uploads die Netzwerkleistung beeinträchtigen.
    • Zusätzliche Hash-Typen: Geben Sie an, ob der Endpoint Sensor auch SHA-256- und MD5-Hashes berechnet und an den Server sendet. Standardmäßig sendet der Endpoint Sensor nur SHA1-Hashes.
      Hinweis
      Hinweis
      Die Auswahl zusätzlicher Hash-Typen beansprucht mehr Datenbankplatz.
    Aktivieren Sie die Angriffserkennung, um bekannte Angriffsindikatoren auf Endpunkten zu erkennen
    Attack Discovery verwendet die Bedrohungsinformationen von Trend Micro, die auf Verhaltensweisen von Angriffsanzeichen (Indicators of Attack, IoA) basieren. Nach der Erkennung eines bekannten IoA protokolliert Attack Discovery die Erkennung.