Die Web Reputation-Technologie von Trend Micro nutzt eine der größten Domänen-Reputationsdatenbanken der Welt und verfolgt die Glaubwürdigkeit von Webdomänen durch die Zuordnung einer Reputationsbewertung auf Grundlage von Faktoren wie beispielsweise dem Alter einer Website, historischer Änderungen des Speicherorts und Anzeigen von verdächtigen Aktivitäten, die von der Analyse des Malware-Verhaltens erkannt wurden, wie Phishing-Angriffe, die Benutzer durch Tricks dazu verleiten sollen, persönliche Daten preiszugeben. Um die Genauigkeit zu erhöhen und Fehlalarme zu reduzieren, weisen die Web Reputation-Dienste von Trend Micro Reputationsbewertungen bestimmten Webseiten oder Links innerhalb von Websites zu. Dabei wird nicht die gesamte Website klassifiziert oder gesperrt, da oft nur Teile einer legitimen Site gehackt wurden. Außerdem können sich Reputationen dynamisch mit der Zeit ändern.
Angreifer können Phishing-Websites nutzen, die sich als legitime Websites ausgeben, um Benutzeranmeldeinformationen zu stehlen, die den Zugriff auf Ihr Netzwerk ermöglichen. Um die Fähigkeit zum Erkennen dieser Anmeldedaten-Phishing-Websites zu verbessern, integriert Cloud-App-Sicherheit das dynamische URL-Scannen und wendet es auf URLs an, die von Trend Micro Web Reputation Services als ungetestet eingestuft wurden. Durch das Crawlen der Webseiten dieser URLs in Echtzeit ermittelt Cloud-App-Sicherheit , ob die Seiten bösartige Muster enthalten und ergreift vorkonfigurierte Maßnahmen, um Benutzer vor Zero-Day-Phishing-Angriffen zu schützen.
Cloud-App-Sicherheit nutzt außerdem auf künstlicher Intelligenz (KI) basierendes Computer Vision, um Cloud-Service-Benutzer vor Credential-Phishing-Angriffen zu schützen. Es nutzt diese fortschrittliche Technologie, um Schlüsselelemente einer gültigen Anmeldeseite für einen Cloud-Dienst zu erkennen, um zu verhindern, dass Benutzer Anmeldeinformationen an nicht vertrauenswürdige Websites übermitteln, und um eine Kontokompromittierung zu verhindern.
In dieser Version ergreift Cloud-App-Sicherheit für eine URL, die als Anmeldeinformations-Phishing erkannt wurde, die vom Administrator unter Aktion für diese URL konfigurierte Aktion.
Zugehörige Informationen

Web Reputation – Risikostufen

In der folgenden Tabelle werden die Risikostufen für Web Reputation beschrieben. In der Tabelle wird erläutert, warum eine URL als "Gefährlich", "Äußerst verdächtig" und "Verdächtig" eingestuft wird.
Risikostufe
Beschreibung
Gefährlich
Die URL gilt als betrügerisch oder als bekannte Bedrohungsquelle.
Äußerst verdächtig
Die URL steht im Verdacht, betrügerisch zu sein oder als potenzielle Bedrohungsquelle zu fungieren.
Verdächtig
Die URL wird mit Spam in Verbindung gebracht oder ist möglicherweise beschädigt.
Nicht getestet
Die URL wurde von Trend Micro noch nicht getestet. Während Trend Micro Webseiten aktiv auf Sicherheit testet, können Benutzer beim Besuch neuer oder weniger beliebter Websites auf ungetestete Seiten stoßen. Das Blockieren des Zugriffs auf ungetestete Seiten kann die Sicherheit verbessern, aber auch den Zugriff auf sichere Seiten verhindern.
Sicher
Die URL enthält keine bösartige Software und zeigt keine Anzeichen von Phishing.

Web Reputation konfigurieren

Prozedur

  1. Wählen Sie Web Reputation aus.
  2. Aktivieren Sie "Web Reputation".
  3. Konfigurieren Sie die Einstellungen für Regeln.
    Einstellung
    Beschreibung
    Anwenden auf
    (Nur Exchange Online und Gmail) Wählen Sie den Bereich der E-Mail-Nachrichten aus, für den die Web-Suche gilt.
    • Alle Nachrichten bedeutet, dass diese Richtlinie auf eingehende, ausgehende und interne E-Mail-Nachrichten angewendet wird. Eingehende/ausgehende E-Mail-Nachrichten werden von/zu nicht-internen Domänen gesendet.
    • Eingehende Nachrichten bedeutet, dass diese Richtlinie nur für eingehende E-Mail-Nachrichten gilt, die von nicht internen Domänen gesendet werden.
    Hinweis
    Hinweis
    Weitere Informationen zu internen Domänen finden Sie unter Konfigurieren der internen Domänenliste
    Für Exchange Online (Inline-Modus) ist der Bereich auf Eingehende Nachrichten für den Schutz von eingehenden Daten und Ausgehende Nachrichten für den Schutz von ausgehenden Daten festgelegt. Eingehende Nachrichten werden von außerhalb Ihrer Organisation an eine Adresse innerhalb der Organisation gesendet, während ausgehende Nachrichten von Ihrer Organisation an externe Adressen gesendet werden.
    Sicherheitsstufe
    Wählen Sie Sicherheitsstufe und anschließend die Sicherheitsstufe aus, auf die sich Web Reputation bezieht.
    Trend Micro betrachtet eine URL als Internet-Bedrohung, wenn der Reputationswert innerhalb eines festgelegten Schwellenwerts liegt und sicher ist, wenn seine Punktzahl den Schwellenwert überschreitet.
    Cloud-App-Sicherheit verfügt über drei Sicherheitsstufen, die bestimmen, ob die konfigurierte Aktion auf eine URL mit einer bestimmten Risikostufe angewendet wird. Einzelheiten zu den Risikostufen finden Sie unterWeb Reputation – Risikostufen .
    • Hoch: Seiten mit folgender Bewertung blockieren:
      • Gefährlich
      • Äußerst verdächtig
      • Verdächtig
      • Nicht getestet
    • Mittel: Seiten mit folgender Bewertung blockieren:
      • Gefährlich
      • Äußerst verdächtig
    • Niedrig: Seiten mit folgender Bewertung blockieren:
      • Gefährlich
    Nachrichtenanhänge
    (Nur Exchange Online und Gmail) Wählen Sie aus, ob der Inhalt von Nachrichtenanhängen, einschließlich QR-Codes, auf verdächtige URLs durchsucht werden soll.
    Hinweis
    Hinweis
    Weitere Informationen zum Scannen von QR-Codes finden Sie unterQuishing-Erkennung .
    Wenn Sie diese Option aktivieren, scannt Cloud-App-Sicherheit auch die QR-Codebilder im E-Mail-Text.
    Dynamischer URL-Scan
    Wählen Sie aus, ob die als Nicht getestet klassifizierten URLs von den Web Reputation-Diensten in Echtzeit weitergehend analysiert werden sollen, um Phishing-Websites zu erkennen.
    Weitere Informationen zur dynamischen URL-Suche finden Sie unter Web-Reputation-Dienste.
    Computer Vision
    (Nur Exchange Online und Gmail) Wählen Sie aus, ob Computer Vision-Techniken zum Erkennen von Phishing-Websites verwenden werden sollen.
    Computer Vision ist eine erweiterte, KI-basierte Erkennungstechnologie, die Bildanalysen einsetzt, um Phishing zu erkennen.
    Retro-Suche & autom. Wartung
    (Nur Exchange Online und Gmail) Diese Option ist standardmäßig deaktiviert.
    Hinweis
    Hinweis
    Diese Option ist für Exchange Online (Inline-Modus) nicht verfügbar.
    1. Wählen Sie aus, ob historische URLs in den E-Mail-Metadaten der Benutzer mit Hilfe neuerer, durch Web-Reputation-Dienste aktualisierter Muster erneut durchsucht werden sollen.
      Die E-Mail-Metadaten der Benutzer können unerkannte verdächtige oder gefährliche URLs enthalten, die erst kürzlich entdeckt wurden. Die Untersuchung solcher Metadaten ist ein wichtiger Bestandteil forensischer Untersuchungen, um festzustellen, ob Ihr E-Mail-Dienst von Angriffen betroffen ist. Cloud-App-Sicherheit sammelt E-Mail-Metadaten von Benutzern in Ihrer Organisation und scannt rückwirkend die historischen URLs mithilfe neuerer Web-Reputationsmuster. Basierend auf dem neuesten Scanergebnis ergreift Cloud-App-Sicherheit automatisch Abhilfemaßnahmen für die betroffenen E-Mail-Nachrichten.
      Hinweis
      Hinweis
      URLs in den Liste der zulässigen/gesperrten URLs und in den E-Mail-Nachrichten, die in die Liste der zulässigen Absender oder die Liste der genehmigten Header-Felder fallen, werden vom Scannen ausgeschlossen.
    2. Klicken Sie auf dem angezeigten Bildschirm auf OK , damit Cloud-App-Sicherheit die E-Mail-Metadaten der Benutzer erfassen kann.
    Nachdem diese Option aktiviert ist, überprüft Cloud-App-Sicherheit regelmäßig historische URLs. Basierend auf den Retro-Scan-Ergebnissen:
    • Wenn sich die Risikostufe einer URL ändert und sie somit der aktuellen Richtlinie entspricht, ergreift Cloud-App-Sicherheit die vom Administrator konfigurierte Aktion für die betroffene E-Mail-Nachricht.
    • Wenn sich die Risikostufe einer URL ändert und diese daher nicht mehr der aktuellen Richtlinie entspricht, stellt Cloud-App-Sicherheit die betroffene E-Mail-Nachricht wieder her, als Aktion auf Quarantänegesetzt war. Cloud-App-Sicherheit macht die Aktion, die auf andere Werte als Quarantänefestgelegt wurde, nicht rückgängig.
  4. (Nur Exchange Online) Konfigurieren Sie Schutz beim Klicken .
    1. Wählen Sie Schutz beim Klicken aktivieren aus.
      Hinweis
      Hinweis
      • Der Schutz beim Klicken gilt für die Echtzeitsuche nach URLs in eingehenden E-Mail-Nachrichten. Um Aktionen für diese URLs zu konfigurieren, navigieren Sie zu AdministrationAllgemeine EinstellungenEinstellungen für den Schutz beim Klicken.
      • Diese Funktion ist für den Schutz von ausgehenden Daten von Exchange Online (Inline-Modus) nicht verfügbar.
    2. Wählen Sie den URL-Bereich aus, für den der Schutz beim Klicken gilt.
  5. (Nur Exchange Online und Gmail) Konfigurieren Sie die Liste der zulässigen Absender.
    1. Wählen Sie Liste der zulässigen Absender aktivieren aus.
    2. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domäne an, um die Web Reputation-Suche zu umgehen, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
      Die folgenden Formate sind ungültig: *@*, *
    3. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Batches zu importieren.
  6. Konfigurieren Sie die Listen genehmigter/gesperrter URLs für Web Reputation.
    1. Aktivieren Sie die Liste der zulässigen URLs.
    2. (Nur Exchange Online) Wählen Sie Interne Domänen zur Liste der zulässigen URLs hinzufügen aus, um Ihre internen Domänen von der Suche auszuschließen.
    3. Geben Sie eine URL an, die vom Web-Reputation-Scan ausgeschlossen werden soll, und klicken Sie aufHinzufügen .
      Hinweis
      Hinweis
      Beachten Sie, dass reguläre Ausdrücke nicht unterstützt werden.
      Bei URLs mit Abfrageparametern verwendet Cloud-App-Sicherheit die genaue Übereinstimmung. Platzhalterzeichen werden nicht unterstützt.
      Bei URLs ohne Abfrageparameter werden Platzhalterzeichen nur in den Formaten *.beispiel.com und *.beispiel.com/beispiel/* unterstützt.
      Für Gmail werden nur URLs ohne Abfrageparameter unterstützt.
    4. Klicken Sie optional auf Importieren, um URLs in Batches zu importieren.
    5. Aktivieren Sie die Liste der gesperrten URLs.
    6. Geben Sie eine URL an, die ohne Scannen blockiert werden soll, und klicken Sie aufHinzufügen .
      Hinweis
      Hinweis
      Die Liste der zulässigen URLs hat Vorrang vor der Liste der gesperrten URLs. Wenn eine URL zu beiden Listen hinzugefügt wird, wird sie als zulässige URL behandelt.
      Beachten Sie, dass reguläre Ausdrücke nicht unterstützt werden.
      Bei URLs mit Abfrageparametern verwendet Cloud-App-Sicherheit die genaue Übereinstimmung. Platzhalterzeichen werden nicht unterstützt.
      Bei URLs ohne Abfrageparameter werden Platzhalterzeichen nur in den Formaten *.beispiel.com und *.beispiel.com/beispiel/* unterstützt.
      Für Gmail werden nur URLs ohne Abfrageparameter unterstützt.
    7. Klicken Sie optional aufExportieren um URLs stapelweise zu exportieren.
    8. Navigieren Sie zu Aktion, um eine Aktion für die Liste der gesperrten URLs festzulegen.
      • Für Gmail werden E-Mail bezeichnen, Löschen und Quarantäne unterstützt.
      • Für Salesforce werden Übergehen, Quarantäne und Löschen unterstützt.
      • Für die anderen Anwendungen und Dienste werden die Optionen Quarantäne und Löschen unterstützt.
  7. (Nur Exchange Online) Konfigurieren Sie die Liste der genehmigten Header-Felder.
    1. Aktivieren Sie die Liste der genehmigten Header-Felder.
    2. Geben Sie im Textfeld Name einen Namen für das Header-Feld und im Textfeld Wert einen Wert für das Feld an. Wählen Sie dann nach Bedarf Entspricht oder Enthält aus.
    3. Klicken Sie auf Hinzufügen.
      Der angegebene Eintrag wird im Bereich unten angezeigt.
      Wenn das angegebene Header-Feld einer E-Mail-Nachricht den angegebenen Wert enthält oder diesem genau entspricht, je nachdem, ob Enthält oder Entspricht ausgewählt ist, wird die Nachricht nicht von Web Reputation zur Erkennung bösartiger und verdächtiger URLs durchsucht, durchläuft jedoch weiterhin die anderen Sicherheitsfilter in der Richtlinie.
      Hinweis
      Hinweis
      Beachten Sie, dass bei Name und Wert die Groß-/Kleinschreibung beachtet wird und dass Platzhalterzeichen und reguläre Ausdrücke nicht unterstützt werden.
      Der Name und der Wert des Header-Felds dürfen nicht mehr als 128 Zeichen umfassen.
    4. Wiederholen Sie optional die Schritte b und c, um nach Bedarf ein weiteres Header-Feld hinzuzufügen.
      Die E-Mail-Nachricht, deren Header-Feld einem der angegebenen Einträge entspricht, wird nicht von Web Reputation durchsucht.
      Hinweis
      Hinweis
      Maximal 10 Header-Felder werden unterstützt.
    5. Um ein angegebenes Header-Feld zu löschen, wählen Sie es in der Liste aus und klicken auf Löschen.
    Die hier konfigurierte Liste der genehmigten Header-Felder gilt nur für die aktuelle Richtlinie. Sie können auch eine Liste der genehmigten Header-Felder erstellen, die auf alle aktivierten Richtlinien für Exchange Online angewendet werden kann. Weitere Informationen finden Sie unter Konfigurieren der Liste genehmigter Headerfelder für Exchange Online.
  8. Konfigurieren Sie die Einstellungen für die Aktion.
    Cloud-App-Sicherheit schützt Dienste, indem es bestimmte Aktionen für E-Mail-Nachrichten oder Dateien ausführt, die den Scanbedingungen entsprechen.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    1. Aktivieren Sie optional das Kontrollkästchen Führen Sie Aktionen für URLs durch, die nicht von Trend Micro Web Reputation-Diensten getestet wurden, um die konfigurierte Aktion auf die URLs anzuwenden, die noch nicht von Trend Micro getestet wurden (z. B. neu erstellte URLs oder gekürzte URLs).
    2. Aktivieren Sie optional das Kontrollkästchen Aktionen für Dateien konfigurieren, um Aktionen für Dateien separat zu konfigurieren und festzulegen, ob Benachrichtigungen gesendet werden sollen, wenn die angegebene Aktion durchgeführt wird.
      Hinweis
      Hinweis
      Wenn diese Option für eine Datei ausgewählt ist, führt Cloud-App-Sicherheit die hier angegebene Aktion anstelle der in den obigen Tabellen in Schritt 7 beschriebenen Aktion auf Richtlinienebene aus.
    3. (Nur Salesforce) Wählen Sie Sekundäre Aktion anwenden, wenn die Dateiquarantäne fehlschlägt aus und geben Sie eine sekundäre Aktion an, wenn Sie eine Sicherungsaktion für den Fall durchführen möchten, dass die Quarantäne-Aktion für eine Datei fehlschlägt.
      Hinweis
      Hinweis
      Diese Option kann nur konfiguriert werden, wenn die Aktion Quarantäne ausgewählt ist.
      • Wenn Aktionen für Dateien konfigurieren mit Aktivierung der Option Quarantäne ausgewählt ist, wird für den Fall, dass diese Quarantäne-Aktion fehlschlägt, die sekundäre Aktion angewendet.
      • Falls Aktionen für Dateien konfigurieren nicht aktiviert ist, gilt die sekundäre Aktion, wenn die Aktion Quarantäne auf Richtlinienebene (wie in den obigen Tabellen in Schritt 7 beschrieben) für eine Datei fehlschlägt.
    4. Wenn die Aktion Tag-Dateiname ausgewählt ist, geben Sie das Tag an, das an den Dateinamen angefügt werden soll.
      Hinweis
      Hinweis
      Das Tag darf nicht länger als 20 Zeichen sein und keine unterstützten Zeichen enthalten (/ \ : * ? < > " |).
      Das Tag gilt für die Aktion Tag-Dateiname, die im Abschnitt Aktion angegeben ist.
    5. Geben Sie den Text zur Ersetzung des ursprünglichen Dateiinhalts an, wenn eine Datei in Quarantäne verschoben oder gelöscht wird.
      Der Text bezieht sich auf die Aktionen Quarantäne und Löschen im Abschnitt Aktion.
  9. Konfigurieren Sie Einstellungen für die Benachrichtigung.
    Option Bezeichnung
    Administrator benachrichtigen
    1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
    2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
    3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
      • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
      • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
      • Individuelle Benachrichtigungen senden: Cloud-App-Sicherheit sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-App-Sicherheit eine Filteraktion durchführt.
    Benutzer benachrichtigen
    Exchange Online and Gmail: Geben Sie Nachrichtendetails an, die Empfänger darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für ihre E-Mail-Nachricht oder ihren Anhang ergriffen hat.
    SharePoint Online, OneDrive, Microsoft Teams (Teams), Box, Dropbox, and Google Drive: Geben Sie Nachrichtendetails an, die den Benutzer, der eine Datei aktualisiert hat, darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für seine Datei ergriffen hat.
    Salesforce: Geben Sie Nachrichtendetails an, die den Benutzer, der einen Salesforce-Objektdatensatz aktualisiert hat, darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und bei der Aktualisierung Maßnahmen ergriffen hat.
    Teams-Chat: Cloud-App-Sicherheit bietet diese Option nicht. Wenn eine Chat-Nachricht blockiert wurde, wird eine Benachrichtigung „Diese Nachricht wurde blockiert“ angezeigt. Die von Microsoft bereitgestellte Nachricht wird im privaten Chat-Fenster des Absenders angezeigt. Nachrichtensender können auf What can I do? klicken, um weitere Informationen zu den blockierten Nachrichten anzuzeigen.
    Hinweis
    Hinweis
    Wenn Sie eine Benachrichtigung angeben, fügen Sie relevante Token ein und bearbeiten Sie den Nachrichteninhalt wie gewünscht. Weitere Informationen zu Token finden Sie unter Token-Liste.
  10. Klicken Sie auf Speichern oder wählen Sie im Navigationsbereich auf der linken Seite eine andere Richtlinienkonfiguration aus, um mit weiteren Regeln fortzufahren.