Ansichten:
Virtual Analyzer ist eine Cloud-Sandbox, die für die Analyse verdächtiger Dateien und URLs entwickelt wurde. Sandbox-Images ermöglichen die Beobachtung von Datei- und URL-Verhalten in einer Umgebung, die Endpunkte in Ihrem Netzwerk simuliert, ohne das Netzwerk zu gefährden.
Virtual Analyzer arbeitet zusammen mit Threat Connect, dem Global Intelligence Network von Trend Micro, das umsetzbare Informationen und Empfehlungen für den Umgang mit Bedrohungen bereitstellt.
Cloud-App-Sicherheit sendet verdächtige Dateien (einschließlich E-Mail-Anhänge und hochgeladene Dateien) und URLs (in Dateien und E-Mail-Nachrichtentexten enthalten) an Virtual Analyzer, wenn eine Datei oder URL verdächtige Merkmale aufweist und signaturbasierte Scantechnologien keine bekannte Bedrohung finden können. Virtual Analyzer führt statische Analysen und Verhaltenssimulationen in verschiedenen Laufzeitumgebungen durch, um potenziell schädliche Merkmale zu identifizieren. Während der Analyse bewertet Virtual Analyzer die Merkmale im Kontext und weist der Stichprobe dann basierend auf den akkumulierten Bewertungen eine Risikostufe zu.
Hinweis
Hinweis
Ein verdächtiges Objekt sind bekannte bösartige oder potenziell bösartige IP-Adressen, Domänen, URLs, SHA-1-Werte, SHA-256-Werte oder Absenderadressen, die in eingereichten Beispielen gefunden wurde. Threat Connect von Trend Micro setzt verdächtige Objekte, die in Ihrer Umgebung erkannt wurden, und Bedrohungsdaten aus dem Trend Micro Smart Protection Network in Beziehung zueinander, um relevante und praktische Informationen zu liefern.
Zugehörige Informationen

Risikostufen des Virtual Analyzer

In der folgenden Tabelle werden die Risikostufen für Virtual Analyzer nach einer Stichprobenanalyse beschrieben. In der Tabelle wird erläutert, warum ein verdächtiges Objekt als "Hohes Risiko", "Mittleres Risiko" oder "Geringes Risiko" eingestuft wurde.
Risikostufe
Beschreibung
Hohes Risiko
Die Stichprobe wies hochgradig verdächtige Merkmale auf, die häufig mit Malware in Verbindung gebracht werden.
Beispiele:
  • Malware-Signaturen, bekannter Exploit-Code
  • Deaktivieren von Sicherheitssoftware-Agents
  • Verbindung mit bösartigen Zielen im Netzwerk
  • Selbstreplikation, Infektion anderer Dateien
  • Löschen oder Herunterladen ausführbarer Dateien nach Dokumenten
Mittleres Risiko
Die Stichprobe wies mittelgradig verdächtige Merkmale auf, die auch mit harmlosen Anwendungen in Verbindung gebracht werden.
Beispiele:
  • Änderung der Start- und anderer wichtiger Systemeinstellungen
  • Verbindung zu unbekannten Netzwerkzielen, Öffnung der Ports
  • Nicht signierte ausführbare Dateien
  • Programme im Arbeitsspeicher
  • Selbstlöschung
Niedriges Risiko
Die Stichprobe wies geringfügig verdächtige Merkmale auf, die wahrscheinlich harmlos sind.
Kein Risiko
Die Stichprobe wies keine verdächtigen Merkmale auf.
Nicht kategorisiert
Die Stichprobe wurde aus einem bestimmten Grund nicht von Virtual Analyzer analysiert.
Mögliche Ursachen sind:
  • Nicht unterstützter Dateityp.
  • Zeitüberschreitung bei der Analyse der Cloud-Sandbox.
  • Fehler beim Herstellen einer Verbindung zur Cloud-Sandbox.
  • In der Cloud-Sandbox ist ein interner Fehler aufgetreten.
Wenn Sie technische Hilfe benötigen, wenden Sie sich an den technischen Support von Trend Micro.

Virtual Analyzer konfigurieren

Prozedur

  1. Wählen Sie Virtual Analyzer aus.
  2. Aktivieren Sie Virtual Analyzer.
    Hinweis
    Hinweis
    Es dauert durchschnittlich drei Minuten, bis Virtual Analyzer (sofern aktiviert) das Risiko eines Anhangs oder einer Datei analysiert und identifiziert hat. Bei manchen Dateien kann es jedoch auch bis zu 30 Minuten dauern.
  3. Aktivieren Sie optional das Kontrollkästchen Nur überwachen und protokollieren, damit Virtual Analyzer im Überwachungsmodus arbeitet.
    Hinweis
    Hinweis
    • Diese Option ist für Gmail nicht verfügbar.
    • Virtual Analyzer analysiert im Überwachungsmodus weiterhin verdächtige URLs, E-Mail-Nachrichten und von Cloud-App-Sicherheitgesendete Dateien, die diese jedoch nur in Protokollen aufzeichnen und an Endbenutzer ausliefern, ohne dass hier konfigurierte Aktionen ausgeführt werden. Dies hilft bei der Bewertung der Virtual Analyzer-Fähigkeit ohne Auswirkungen auf den E-Mail-Fluss und die Dateifreigabe.
    • Wenn Virtual Analyzer im Überwachungsmodus aktiviert ist, gelten alle folgenden Einstellungen nicht, mit der Ausnahme, dass Cloud-App-Sicherheit Administratoren bei Erkennung von Sicherheitsrisiken benachrichtigt, sofern diese in Aktionaktiviert sind.
  4. Konfigurieren Sie die Einstellungen für Regeln.
    Einstellung
    Beschreibung
    Folgendes analysieren:
    Wählen Sie die Art von Objekten aus, auf die Virtual Analyzer angewendet wird.
    • Dateien
      Hinweis
      Hinweis
      Dieses Kontrollkästchen ist standardmäßig aktiviert und kann nicht deaktiviert werden.
    • URLs
      Hinweis
      Hinweis
      • Dieses Kontrollkästchen kann nur aktiviert werden, wenn Web Reputation aktiviert ist.
      • Ist Web Reputation deaktiviert, ist auch dieses Kontrollkästchen automatisch deaktiviert.
    Anwenden auf
    (Nur Exchange Online und Gmail) Wählen Sie den Bereich der E-Mail-Nachrichten aus, auf die Virtual Analyzer angewendet werden soll.
    • Alle Nachrichten bedeutet, dass diese Richtlinie auf eingehende, ausgehende und interne E-Mail-Nachrichten angewendet wird. Eingehende/ausgehende E-Mail-Nachrichten werden von/zu nicht-internen Domänen gesendet.
    • Eingehende Nachrichten bedeutet, dass diese Richtlinie nur für eingehende E-Mail-Nachrichten gilt, die von nicht internen Domänen gesendet werden.
    Hinweis
    Hinweis
    Weitere Informationen zu internen Domänen finden Sie unter Konfigurieren der internen Domänenliste
    Für Exchange Online (Inline-Modus) ist der Bereich auf Eingehende Nachrichten für den Schutz von eingehenden Daten und Ausgehende Nachrichten für den Schutz von ausgehenden Daten festgelegt. Eingehende Nachrichten werden von außerhalb Ihrer Organisation an eine Adresse innerhalb der Organisation gesendet, während ausgehende Nachrichten von Ihrer Organisation an externe Adressen gesendet werden.
  5. Klicken Sie auf Zulässige/Sperrliste.
  6. (Nur Exchange Online und Gmail) Konfigurieren Sie die Liste der zulässigen Absender.
    1. Aktivieren Sie die Liste der zulässigen Absender.
    2. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domäne an, um die Virtual Analyzer-Suche zu umgehen, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
      Die folgenden Formate sind ungültig: *@*, *
    3. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Batches zu importieren.
  7. Konfigurieren Sie Liste der zulässigen Dateien, um Dateien hinzuzufügen, die nicht zur weiteren Analyse durch Virtual Analyzer gesendet werden sollen.
    Hinweis
    Hinweis
    In dieser Version ist diese Option für Microsoft Teams (Chat) nicht verfügbar.
    1. Aktivieren Sie die Liste der zulässigen Dateien.
    2. Geben Sie einen Dateinamen an, die von der Suche ausgeschlossen werden soll, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen im Dateinamen verwenden. Beispiele: *.exe, file*.exe, file*
      Die folgenden Formate sind ungültig: *.*, *
      Bei Dateinamen wird nicht nach Groß-/Kleinschreibung unterschieden, es dürfen nicht mehr als 255 Zeichen verwendet werden und die folgenden Zeichen dürfen nicht enthalten sein: / \ : ? < > " |
      Maximal 1.024 Dateinamen werden unterstützt.
    3. Klicken Sie optional auf Importieren, um Dateinamen in Batches zu importieren.
    4. Klicken Sie optional auf Exportieren, um die angegebenen Dateinamen als eine Datei mit der Erweiterung .txt zu exportieren.
  8. Klicken Sie auf Aktion und Benachrichtigung.
  9. Konfigurieren Sie die Einstellungen für die Aktion.
    Virtual Analyzer weist analysierten Dateien basierend auf dem Verhalten der Datei in der virtuellen Sandbox eine Risikostufe zu. Wählen Sie die Aktion auf Grundlage dieser zugewiesenen Risikostufe aus.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
  10. Konfigurieren Sie Einstellungen für die Benachrichtigung.
    Option Bezeichnung
    Administrator benachrichtigen
    1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
    2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
    3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
      • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
      • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
      • Individuelle Benachrichtigungen senden: Cloud-App-Sicherheit sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-App-Sicherheit eine Filteraktion durchführt.
    Benutzer benachrichtigen
    Exchange Online and Gmail: Geben Sie Nachrichtendetails an, die Empfänger darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für ihre E-Mail-Nachricht oder ihren Anhang ergriffen hat.
    SharePoint Online, OneDrive, Microsoft Teams (Teams), Box, Dropbox, and Google Drive: Geben Sie Nachrichtendetails an, die den Benutzer, der eine Datei aktualisiert hat, darüber informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für seine Datei ergriffen hat.
    Teams-Chat: Cloud-App-Sicherheit bietet diese Option nicht. Wenn eine Chat-Nachricht blockiert wurde, wird eine Benachrichtigung „Diese Nachricht wurde blockiert“ angezeigt. Die von Microsoft bereitgestellte Nachricht wird im privaten Chat-Fenster des Absenders angezeigt. Nachrichtensender können auf What can I do? klicken, um weitere Informationen zu den blockierten Nachrichten anzuzeigen.
    Hinweis
    Hinweis
    Wenn Sie eine Benachrichtigung angeben, fügen Sie relevante Token ein und bearbeiten Sie den Nachrichteninhalt wie gewünscht. Weitere Informationen zu Token finden Sie unter Token-Liste.
  11. Klicken Sie auf Speichern oder wählen Sie im Navigationsbereich auf der linken Seite eine andere Richtlinienkonfiguration aus, um mit weiteren Regeln fortzufahren.