Ansichten:
Für einen Überblick über Application Control, siehe Software mit Application Control sperren. Für anfängliche Konfigurationsanweisungen, siehe Application Control einrichten.
Standardmäßig protokolliert Application Control Ereignisse, wie z. B. wenn es Softwareänderungen gibt oder wenn es Software am Ausführen hindert, wenn Sie Application Control aktivieren. Application Control-Ereignisse erscheinen auf den Seiten Aktionen und Events & Reports. Wenn konfiguriert, erscheint eine Warnung auf der Seite Warnungen.
Sie können konfigurieren, welche Application Control-Ereignisprotokolle aufgezeichnet werden und welche an externe SIEM-Systeme oder Syslog Server weitergeleitet werden.
Um Softwareänderungen auf Computern zu überwachen:

Prozedur

  1. Wählen Sie, welche Application Control-Ereignisse protokolliert werden sollen
  2. Anwendungssteuerungsereignisprotokolle anzeigen
  3. Aggregierte Sicherheitsereignisse interpretieren
  4. Überwachen Sie Application Control-Warnungen

Wählen Sie, welche Application Control-Ereignisse protokolliert werden sollen Übergeordnetes Thema

Prozedur

  1. Navigieren Sie zu AdministrationSystem SettingsSystemereignisse.
  2. Scrollen Sie nach unten zu den Application Control-Ereignissen wie Ereignis-ID 7000 "Application Control-Ereignisse exportiert".
  3. Wenn Sie Ereignisprotokolle für diesen Ereignistyp aufzeichnen möchten, wählen Sie Record.
    Wenn diese Ereignisse auftreten, erscheinen sie unter EreignisseBerichteEreignisseSystemereignisse. Protokolle werden aufbewahrt, bis sie die Kriterien für das maximale Protokollalter erfüllen. Weitere Informationen finden Sie unter Ereignissammlung in Server- und Workload Protection.
    Hinweis
    Hinweis
    Ereignisse, die unter ComputersDetailsApplication ControlEreignisse erscheinen, sind hier nicht konfiguriert. Sie werden immer protokolliert.
  4. Wenn Sie Ereignisprotokolle an ein SIEM oder einen Syslog Server weiterleiten möchten, wählen Sie Weiterleiten.
  5. Wenn Sie ein externes SIEM verwenden, müssen Sie möglicherweise die Liste der möglichen Application Control-Ereignisprotokolle laden und angeben, welche Aktion durchgeführt werden soll. Eine Liste der Application Control-Ereignisse finden Sie unter Application Control-Ereignisse.

Anwendungssteuerungsereignisprotokolle anzeigen Übergeordnetes Thema

Application Control generiert Systemereignisse und Sicherheitsereignisse:
  • System event: Ein Audit-Ereignis, das eine Historie von Konfigurationsänderungen oder Software-Updates bietet. Um Systemereignisse zu sehen, klicken Sie auf Events & ReportsEreignisseSystemereignisse. Für eine Liste, siehe Systemereignisse.
  • Security event: Ein Ereignis, das auf dem Agenten auftritt, wenn Application Control nicht erkannte Software sperrt oder zulässt oder Software aufgrund einer Sperrregel blockiert. Um Sicherheitsereignisse zu sehen, klicken Sie auf Events & ReportsEreignisseApplication Control EventsSecurity Events. Für eine Liste, siehe [Application Control Ereignisse](../application-control-events.

Interpretieren Sie aggregierte Sicherheitsereignisse Übergeordnetes Thema

Wenn ein Agent-Heartbeat mehrere Instanzen desselben Sicherheitsereignisses enthält, aggregiert Server- und Workload Protection die Ereignisse im Sicherheitsereignisprotokoll. Die Ereignisaggregation reduziert die Anzahl der Einträge im Protokoll und erleichtert das Auffinden wichtiger Ereignisse.
  • Wenn das Ereignis für dieselbe Datei auftritt, was normalerweise der Fall ist, enthält das Protokoll den Dateiname mit dem aggregierten Ereignis. Zum Beispiel umfasst ein Heartbeat 3 Instanzen des Ereignisses "Ausführung nicht erkannter Software erlaubt" für die Datei Test_6_file.sh und keine anderen Instanzen dieses Ereignisses. Server- und Workload Protection aggregiert diese 3 Ereignisse für die Datei Test_6_file.sh.
  • Wenn das Ereignis für viele Dateien auftritt, lässt das Protokoll den Link zu den Regeln, den Pfad, den Dateiname und den Benutzername aus. Zum Beispiel umfasst ein Heartbeat 21 Instanzen des Ereignisses "Ausführung nicht erkannter Software erlaubt", das für mehrere verschiedene Dateien aufgetreten ist. Server- und Workload Protection aggregiert die 21 Ereignisse in einem einzigen Ereignis, enthält jedoch keinen Link zu den Regeln, Pfad, Dateiname oder Benutzername.
Wenn aggregierte Ereignisse auf mehrere Dateien zutreffen, wurden andere Vorkommen dieser Ereignisse wahrscheinlich in anderen Heartbeats gemeldet. Nachdem Sie auf andere Ereignisse reagiert haben, bei denen der Dateiname bekannt ist, ist es wahrscheinlich, dass keine weiteren aggregierten Ereignisse auftreten.
Im Protokoll verwenden aggregierte Ereignisse spezielle Symbole, und die Repeat Count-Spalte gibt die Anzahl der aggregierten Ereignisse an.
ac_events=ee156cdd-6ef0-42dc-99dd-28cb2834ae9b.png

Application Control-Warnungen überwachen Übergeordnetes Thema

Um zu konfigurieren, welche Application Control-Ereignisse oder Schweregrade eine Warnung auslösen, gehen Sie zur Registerkarte Warnungen, klicken Sie auf die Schaltfläche Configure Alerts und wählen Sie dann ein Ereignis aus und doppelklicken Sie auf Eigenschaften. Weitere Informationen finden Sie unter Warnungen konfigurieren.
Wenn Warnungen für Application Control-Ereignisse aktiviert sind, erscheinen jede Softwareänderung, die die Application Control-Engine erkennt, und jede Software, die sie am Ausführen hindert, im Warnungen-Tab. Wenn Sie das Alert Status-Widget aktiviert haben, erscheinen Application Control-Warnungen auch im Dashboard.
dashboard-alert-status-app-control=c9fdda02-efde-4402-b67f-bdea853ff4d7.png
Um zu überwachen, welche Computer sich im Wartungsmodus befinden, können Sie auch auf Add/Remove Widgets klicken und das Application Control Maintenance Mode-Widget aktivieren, das eine Liste der Computer und ihrer geplanten Wartungsfenster anzeigt.