Ansichten:
Bei der Malware-Suche wird die Viren-Scan-Engine von Trend Micro zur Erkennung neu aufkommender Bedrohungen eingesetzt.
Zugehörige Informationen

Malware-Suche konfigurieren

Prozedur

  1. Wählen Sie Malware-Suche aus.
  2. Konfigurieren Sie die Einstellungen für Regeln.
    Einstellung
    Beschreibung
    Anwenden auf
    (Nur Exchange Online und Gmail) Wählen Sie den Bereich der E-Mail-Nachrichten aus, für den die Malware-Suche gilt.
    • Alle Nachrichten bedeutet, dass diese Richtlinie auf eingehende, ausgehende und interne E-Mail-Nachrichten angewendet wird. Eingehende/ausgehende E-Mail-Nachrichten werden von/zu nicht-internen Domänen gesendet.
    • Eingehende Nachrichten bedeutet, dass diese Richtlinie nur für eingehende E-Mail-Nachrichten gilt, die von nicht internen Domänen gesendet werden.
    Hinweis
    Hinweis
    Weitere Informationen zu internen Domänen finden Sie unter Konfigurieren der internen Domänenliste
    Für Exchange Online (Inline-Modus) ist der Bereich auf Eingehende Nachrichten für den Schutz von eingehenden Daten und Ausgehende Nachrichten für den Schutz von ausgehenden Daten festgelegt. Eingehende Nachrichten werden von außerhalb Ihrer Organisation an eine Adresse innerhalb der Organisation gesendet, während ausgehende Nachrichten von Ihrer Organisation an externe Adressen gesendet werden.
    Zu durchsuchende Dateien
    • Alle Dateien, True-File-Typen oder bestimmte Dateitypen auf Malware durchsuchen
    • Wählen Sie aus, ob die Engine für Vorausschauendes Maschinenlernen genutzt werden soll, um aufkommende unbekannte Sicherheitsrisiken zu erkennen. Einzelheiten dazu finden Sie unter Über prädiktives maschinelles Lernen.
      Bei einer neuen Richtlinie ist dieses Kontrollkästchen standardmäßig aktiviert.
    • (Nur Exchange Online und Gmail) Wählen Sie aus, ob der Nachrichtentext durchsucht werden soll.
    • Wählen Sie aus, ob IntelliTrap aktiviert werden soll.
      IntelliTrap reduziert das Risiko von Viren, die Komprimierungsalgorithmen in Echtzeit verwenden, um die Netzwerksicherheit zu umgehen, indem in Echtzeit komprimierte ausführbare Dateien blockiert und mit anderen Malware-Merkmalen gekoppelt werden. Da IntelliTrap derartige Dateien als Sicherheitsrisiko kennzeichnet und dadurch möglicherweise sichere Dateien sperrt, sollten Sie nach der Aktivierung von IntelliTrap Dateien in Quarantäne stellen (nicht löschen).
    • Wählen Sie aus, ob Trend Micro Informationen zu verdächtigen Dateien erfassen soll, um die Erkennungsfunktionen der fortgeschrittenen Bedrohungssuchmaschine und der Engine für Vorausschauendes Maschinenlernen zu verbessern.
      Hinweis
      Hinweis
      Wenn Sie diese Option aktivieren, überprüft Trend Micro nur potenziell riskante Dateien und verschlüsselt alle Inhalte, bevor Informationen übertragen werden.
      Bei einer neuen Richtlinie ist dieses Kontrollkästchen standardmäßig aktiviert.
    Vorausschauendes Maschinenlernen aktivieren
    Wählen Sie aus, ob die Engine für Vorausschauendes Maschinenlernen genutzt werden soll, um aufkommende unbekannte Sicherheitsrisiken zu erkennen. Einzelheiten dazu finden Sie unter Über prädiktives maschinelles Lernen.
    Bei einer neuen Richtlinie ist dieses Kontrollkästchen standardmäßig aktiviert.
    Nachrichtentext durchsuchen
    (Nur Exchange Online und Gmail) Wählen Sie aus, ob der Nachrichtentext durchsucht werden soll.
    IntelliTrap aktivieren
    Wählen Sie aus, ob IntelliTrap aktiviert werden soll.
    IntelliTrap reduziert das Risiko von Viren, die Komprimierungsalgorithmen in Echtzeit verwenden, um die Netzwerksicherheit zu umgehen, indem in Echtzeit komprimierte ausführbare Dateien blockiert und mit anderen Malware-Merkmalen gekoppelt werden. Da IntelliTrap derartige Dateien als Sicherheitsrisiko kennzeichnet und dadurch möglicherweise sichere Dateien sperrt, sollten Sie nach der Aktivierung von IntelliTrap Dateien in Quarantäne stellen (nicht löschen).
    Trend Micro kann Informationen zu verdächtigen Dateien sammeln, um die Erkennungsfunktionen zu verbessern
    Wählen Sie aus, ob Trend Micro Informationen zu verdächtigen Dateien erfassen soll, um die Erkennungsfunktionen der fortgeschrittenen Bedrohungssuchmaschine und der Engine für Vorausschauendes Maschinenlernen zu verbessern.
    Hinweis
    Hinweis
    Wenn Sie diese Option aktivieren, überprüft Trend Micro nur potenziell riskante Dateien und verschlüsselt alle Inhalte, bevor Informationen übertragen werden.
    Bei einer neuen Richtlinie ist dieses Kontrollkästchen standardmäßig aktiviert.
    Erkennen aktiver Inhalte in unterstützten Dateiformaten
    (Exchange Online, nur Exchange Online (Inline-Modus)) Wählen Sie aus, ob Aktionen speziell für E-Mail-Nachrichten aktiviert und konfiguriert werden sollen, die aktive Inhalte wie z. B. Makros in angehängten Dateien enthalten.
    Hinweis
    Hinweis
    Derzeit unterstützte Dateiformate umfassen Microsoft Office-Dokumente und PDF-Dateien.
    Wenn Cloud-App-Sicherheit das Vorhandensein unterstützter aktiver Inhalte erkennt und prüft, ob diese bösartig sind, ergreift sie die konfigurierte Aktion.
    Diese Option gilt für nicht komprimierte Dateien in empfangenen E-Mail-Nachrichten von externen und internen Absendern.
    Im Abschnitt Aktion können Sie konfigurieren, dass die angehängte Datei bereinigt wird oder die gesamte E-Mail-Nachricht weitergeleitet, unter Quarantäne gestellt oder gelöscht wird, wenn aktiver Inhalt erkannt wird. Wenn Datei bereinigen ausgewählt ist, entfernt Cloud-App-Sicherheit den aktiven Inhalt aus der Datei und übermittelt die E-Mail-Nachricht mit der bereinigten Datei.
    Hinweis
    Hinweis
    Die E-Mail-Nachricht durchläuft weiterhin die anderen Sicherheitsfilter in derselben Richtlinie.
    Wenn Cloud-App-Sicherheit den aktiven Inhalt nicht entfernen kann, wird die Übergehen -Aktion ausgeführt, d. h. die E-Mail-Nachricht mit der Originaldatei an den vorgesehenen Empfänger zugestellt.
  3. Klicken Sie auf Aktion und Benachrichtigung.
  4. Konfigurieren Sie die Einstellungen für die Aktion.
    Cloud-App-Sicherheit schützt Cloud-Anwendungen und -Dienste, indem bestimmte Aktionen ausgeführt werden, nachdem eine Datei erkannt wurde, die den Scanbedingungen entspricht. Die Aktion hängt vom durchgeführten Scan, der betroffenen Anwendung oder dem betroffenen Dienst und den konfigurierten Aktionen für diesen Scan ab.
    • Exchange Online, Exchange Online (Inline-Modus) – Schutz von eingehenden Daten, Exchange Online (Inline-Modus) – Richtlinien für den Schutz von ausgehenden Daten
    Option Bezeichnung
    Aktion
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    Erweiterte Optionen
    Geben Sie den Namen der Ersatzdatei und den Ersatztext an, die Cloud-App-Sicherheit verwendet, wenn eine nicht scannbare Nachricht eintrifft. Cloud-App-Sicherheit ersetzt die Datei/den Text durch die konfigurierten Ersetzungsinformationen.
    Optionen für nicht durchsuchbare Dateien
    Wählen Sie Aktionen für kennwortgeschützte Dateien aus. Geben Sie einen Ersetzungstext an, der eine Datei bzw. Text für eine nicht durchsuchbare Nachricht ersetzt.
    Wenn eine E-Mail-Nachricht mit passwortgeschützten Anhängen eintrifft, wenn Erraten des Passworts für Anhänge aktiviert ist, versucht Cloud-App-Sicherheit zunächst, Passwörter in der Nachricht zu finden, um die Anhänge zum Scannen zu entschlüsseln. Wenn kein Passwort gefunden wird oder das Erraten von Anhangskennwörtern nicht aktiviert ist, behandelt Cloud-App-Sicherheit die Anhänge als nicht scanbar und führt die Aktion für Kennwortgeschützte komprimierte Dateien oder Andere kennwortgeschützte Dateienaus, je nachdem, ob die Anhänge komprimiert sind.
    • Gmail-Richtlinien
    Option Bezeichnung
    Aktion
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    Optionen für nicht durchsuchbare Dateien
    Wählen Sie Aktionen für kennwortgeschützte Dateien aus.
    Wenn eine E-Mail-Nachricht mit passwortgeschützten Anhängen eintrifft, wenn Erraten des Passworts für Anhänge aktiviert ist, versucht Cloud-App-Sicherheit zunächst, Passwörter in der Nachricht zu finden, um die Anhänge zum Scannen zu entschlüsseln. Wenn kein Passwort gefunden wird oder das Erraten von Anhangskennwörtern nicht aktiviert ist, behandelt Cloud-App-Sicherheit die Anhänge als nicht scanbar und führt die Aktion für Kennwortgeschützte komprimierte Dateien oder Andere kennwortgeschützte Dateienaus, je nachdem, ob die Anhänge komprimiert sind.
    • Salesforce-Richtlinien
    Option Bezeichnung
    Aktion
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    Erweiterte Einstellungen für Dateien
    • Wählen Sie Sekundäre Aktion anwenden, wenn die Dateiquarantäne fehlschlägt aus und geben Sie eine sekundäre Aktion an, wenn Sie eine Sicherungsaktion für den Fall durchführen möchten, dass die Quarantäne-Aktion für eine Datei fehlschlägt. Diese Option kann nur konfiguriert werden, wenn eine Quarantäne-Aktion ausgewählt ist.
    • Geben Sie den Text an, der an den Dateinamen angefügt werden soll, wenn die Aktion Tag-Dateiname im Abschnitt Aktion ausgewählt ist.
      Hinweis
      Hinweis
      • Die Aktion Tag-Dateiname fügt dem Dateinamen ein Tag hinzu, um Stakeholder vor Bedrohungen zu warnen, die in hochgeladenen Dateien erkannt werden. In den Sicherheitsfiltern für Web Reputation und Prävention vor Datenverlust können Salesforce-Administratoren separat Aktionen konfigurieren, einschließlich Übergehen, Quarantäne, Löschen und Tag-Dateiname für Dateien.
      • Das Tag darf nicht länger als 20 Zeichen sein und keine unterstützten Zeichen enthalten (/ \ : * ? < > " |).
    • Geben Sie den Text zur Ersetzung des ursprünglichen Dateiinhalts an, wenn eine Datei in Quarantäne verschoben oder gelöscht wird. Der Text bezieht sich auf die Aktionen Quarantäne und Löschen im Abschnitt Aktion.
    Optionen für nicht durchsuchbare Dateien
    Wählen Sie Aktionen für kennwortgeschützte Dateien aus.
  5. Konfigurieren Sie Einstellungen für die Benachrichtigung.
    Option Bezeichnung
    Administrator benachrichtigen
    1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
    2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
    3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
      • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
      • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
      • Individuelle Benachrichtigungen senden: Cloud-App-Sicherheit sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-App-Sicherheit eine Filteraktion durchführt.
    Benutzer benachrichtigen
    Exchange Online and Gmail: Geben Sie Nachrichtendetails an, die Empfänger darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für ihre E-Mail-Nachricht oder ihren Anhang ergriffen hat.
    SharePoint Online, OneDrive, Microsoft Teams (Teams), Box, Dropbox, and Google Drive: Geben Sie Nachrichtendetails an, die den Benutzer, der eine Datei aktualisiert hat, darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für seine Datei ergriffen hat.
    Salesforce: Geben Sie Nachrichtendetails an, die den Benutzer, der einen Salesforce-Objektdatensatz aktualisiert hat, darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und bei der Aktualisierung Maßnahmen ergriffen hat.
    Teams-Chat: Cloud-App-Sicherheit bietet diese Option nicht. Wenn eine Chat-Nachricht blockiert wurde, wird eine Benachrichtigung „Diese Nachricht wurde blockiert“ angezeigt. Die von Microsoft bereitgestellte Nachricht wird im privaten Chat-Fenster des Absenders angezeigt. Nachrichtensender können auf What can I do? klicken, um weitere Informationen zu den blockierten Nachrichten anzuzeigen.
    Hinweis
    Hinweis
    Wenn Sie eine Benachrichtigung angeben, fügen Sie relevante Token ein und bearbeiten Sie den Nachrichteninhalt wie gewünscht. Weitere Informationen zu Token finden Sie unter Token-Liste.
  6. Klicken Sie auf Speichern oder wählen Sie im Navigationsbereich auf der linken Seite eine andere Richtlinienkonfiguration aus, um mit weiteren Regeln fortzufahren.
Zugehörige Informationen

Über prädiktives maschinelles Lernen

Trend Micro Vorausschauendes Maschinenlernen verwendet eine erweiterte Technologie für Maschinenlernen, um Informationen zu Bedrohungen in Beziehung zu setzen und detaillierte Dateianalysen durchzuführen, mit denen unbekannte Sicherheitsrisiken über digitale DNA-Fingerabdrücke, API-Zuordnungen und andere Dateifunktionen ermittelt werden können. Vorausschauendes Maschinenlernen ist ein leistungsstarkes Tool, mit dem Sie Ihre Umgebung vor unbekannten Bedrohungen und Zero-Day-Angriffen schützen können.
Nach der Erkennung einer unbekannten Datei oder einer Datei mit geringer Verbreitung scannt Cloud-App-Sicherheit die Datei mithilfe der Advanced Threat Scan Engine, um Dateifunktionen zu extrahieren, und sendet den Bericht an die Predictive Machine Learning-Engine. Mithilfe der Malware-Modellierung vergleicht Predictive Machine Learning die Stichprobe mit dem Malware-Modell, weist einen Wahrscheinlichkeitswert zu und bestimmt den wahrscheinlichen Malware-Typ, der in der Datei enthalten ist.