Ansichten:
Warnung
Warnung
Application Control überwacht kontinuierlich Ihren Server und protokolliert ein Ereignis, sobald eine Softwareänderung auftritt. Es ist nicht für Umgebungen gedacht, in denen sich die Software selbst ändert oder normalerweise ausführbare Dateien erstellt, wie einige Web- oder Mailserver. Um sicherzustellen, dass Application Control für Ihre Umgebung geeignet ist, überprüfen Sie Was erkennt Application Control als Softwareänderung?.
Weitere Informationen darüber, wie Application Control funktioniert, finden Sie unter Über Application Control und Application Control Vertrauensentitäten.

Neue und geänderte Software überwachen Übergeordnetes Thema

Sobald ein Inventar auf einem geschützten Computer erstellt wurde, werden alle Software-Executable-Dateien, die hinzugefügt oder geändert werden, als "Softwareänderung" klassifiziert und erscheinen auf der Aktionen-Seite in Server- und Workload Protection. Wenn nicht erkannte Software ausgeführt wird oder versucht wird, sie auszuführen und sie gesperrt wird, wird das Ereignis unter Events & ReportsEreignisseApplication Control EventsSecurity Events aufgeführt. Für weitere Informationen siehe Application Control-Ereignisse.
Nachdem Sie Application Control zunächst aktivieren, werden Sie wahrscheinlich viele Softwareänderungen auf der Aktionen-Seite sehen. Dies kann passieren, wenn zugelassene Software neue ausführbare Dateien erstellt, Dateien umbenennt oder Dateien im normalen Betriebsablauf verschiebt. Wenn Sie Regeln hinzufügen, um Application Control zu optimieren, sollten Sie weniger Softwareänderungen sehen.
Um schnell alle Softwareänderungen auf allen Computern zu finden und einfach Erlauben- oder Sperren-Regeln dafür zu erstellen, verwenden Sie die Aktionen-Registerkarte.
Tipp
Tipp
Sie können die Erstellung von Software-Regelsätzen zum Erlauben oder Sperren von Regeln mithilfe der Server- und Workload Protection-API automatisieren. Weitere Informationen finden Sie unter Nicht erkannte Software erlauben oder sperren.

Prozedur

  1. Gehen Sie in der Server- und Workload Protection-Konsole zu Aktionen.
  2. Es gibt mehrere Möglichkeiten, um nur bestimmte Vorkommen von nicht erkannter Software anzuzeigen.
    Tipp
    Tipp
    Anstatt jede Softwareänderung auf jedem Computer einzeln zu bewerten, verwenden Sie die unten beschriebenen Filter, um Softwareänderungen zu finden, von denen Sie wissen, dass sie gut sind, und erlauben Sie sie in großen Mengen.
    actions=94298770-add2-4b7d-8bcf-44c3f9d71a46.png
    Um die Anzahl der angezeigten Softwareänderungen zu reduzieren:
    • Wählen Sie aus der Dropdown-Liste neben Application Control: Software Changes einen Zeitraum wie Letzte 7 Tage aus. Sie können auch auf einen Balken im Diagramm oben auf der Seite klicken, um die Änderungen für diesen Zeitraum anzuzeigen.
    • Klicken Sie im Bereich auf der linken Seite auf Computers und wählen Sie einen einzelnen Computer oder eine Gruppe aus, oder klicken Sie auf Smart Folders, um nur die Computer anzuzeigen, die in einem bestimmten intelligenten Ordner enthalten sind (siehe Computer dynamisch mit intelligenten Ordnern gruppieren).
      Hinweis
      Hinweis
      Im Gegensatz zur Computers-Registerkarte zeigt der Software Changes-Bereich normalerweise nicht alle Computer an. Er zeigt nur Computer an, bei denen Application Control Softwareänderungen erkannt hat, die noch keine Erlauben- oder Sperren-Regeln haben.
    • Geben Sie Suchbegriffe und Operatoren im Suchfilterfeld ein. Sie suchen nach diesen Attributen: Änderung durch Prozess, Änderung durch Benutzer, Dateiname, Host-Name, Installationspfad, MD5, SHA1 und SHA256. Zum Beispiel könnten Sie alle Änderungen finden, die von einem bestimmten Benutzer vorgenommen wurden, dem Sie vertrauen, und auf Allow All klicken, um alle seine Änderungen zuzulassen. Oder wenn ein bestimmtes Software-Update in Ihrer Organisation installiert wurde (während der Wartungsmodus nicht aktiviert war), filtern Sie die Seite nach dem Hash-Wert der Datei und klicken Sie auf Allow All, um alle Vorkommen zuzulassen.
      Tipp
      Tipp
      Details zu einer Softwareänderung werden im rechten Bereich angezeigt. Sie können auf den Dateinamen oder den Computernamen in den Details klicken, um ihn zu Ihrem Suchfilter hinzuzufügen.
    • Wählen Sie, ob Sie Group by File (Hash) oder Group by Computer möchten.
  3. Klicken Sie entweder auf Zulassen oder Sperren, um eine Erlauben- oder Sperren-Regel auf diesem Computer für diese Software hinzuzufügen. Wenn Sie weitere Informationen benötigen, um zu entscheiden, ob Sie erlauben oder sperren möchten, klicken Sie auf den Softwarenamen und verwenden Sie das Detailfenster auf der rechten Seite.
    Das nächste Mal, wenn der Agent eine Verbindung mit Server- und Workload Protection herstellt, erhält er die neuen Regeln.

Nächste Schritte

Tipps zum Umgang mit Änderungen Übergeordnetes Thema

  • Für die meisten Umgebungen empfehlen wir, die Option Allow unrecognized software until it is explicitly blocked auszuwählen, um Softwareänderungen standardmäßig zuzulassen, wenn Sie Application Control aktivieren und Erlauben- und Sperren-Regeln für Änderungen hinzufügen, die Sie auf der Seite Aktionen sehen. Schließlich sollte die Rate der Softwareänderungen abnehmen. Zu diesem Zeitpunkt könnten Sie in Betracht ziehen, Softwareänderungen standardmäßig zu sperren und Erlauben-Regeln für die Software zu erstellen, von der Sie wissen, dass sie gut ist. Einige Organisationen ziehen es vor, weiterhin Änderungen standardmäßig zuzulassen und die Seite Aktionen zu überwachen, um Software zu identifizieren, die gesperrt werden sollte.
  • Möglicherweise möchten Sie zunächst Sicherheitsereignisse bewerten, anstatt sich zuerst mit nicht erkannter Software zu befassen. Sicherheitsereignisse zeigen Ihnen, welche nicht erkannte Software ausgeführt wurde (oder versucht wurde, auszuführen). Weitere Informationen zu Sicherheitsereignissen finden Sie unter Application Control-Ereignisse überwachen.
  • Wenn eine nicht erkannte Datei ausgeführt werden darf und Sie sie weiterhin zulassen möchten, erstellen Sie eine Zulassungsregel. Zusätzlich zur Erlaubnis der Ausführung der Datei wird das Ereignis für diese Datei nicht mehr protokolliert, was das Rauschen reduziert und wichtige Ereignisse leichter auffindbar macht.
  • Wenn die Ausführung einer bekannten Datei gesperrt ist, sollten Sie in Erwägung ziehen, diese Datei vom Computer zu bereinigen, insbesondere bei wiederholtem Auftreten.
  • Beachten Sie, dass Softwareänderungen für jeden Computer aufgelistet werden, auf dem sie auftreten. Sie müssen die Software für jeden Computer zulassen oder sperren.
  • Regeln werden Computern zugewiesen, nicht Richtlinien. Wenn zum Beispiel helloworld.py auf drei Computern erkannt wird, wirkt sich ein Klick auf Allow All oder Block All nur auf diese drei Computer aus. Zukünftige Erkennungen auf anderen Computern werden nicht beeinflusst, da diese ihre eigenen Regelsets haben.
  • Wenn Sie Änderungen im Zusammenhang mit Software-Updates sehen, die Sie steuern können, verwenden Sie die Wartungsmodus-Funktion, wenn Sie diese Updates durchführen. Siehe Wartungsmodus aktivieren, wenn geplante Änderungen vorgenommen werden.
  • Führen Sie Application Control nicht im Lockdown-Modus auf Computern und Servern aus, die automatische Updates aktiviert haben.

Aktivieren Sie den Wartungsmodus, wenn geplante Änderungen vorgenommen werden Übergeordnetes Thema

Wenn Sie Patches installieren, Software aktualisieren oder Webanwendungen bereitstellen, wird Application Control diese erkennen. Abhängig von Ihrer Einstellung, wie nicht erkannte Software behandelt werden soll, könnte diese Software gesperrt werden, bis Sie die Aktionen-Registerkarte verwenden, um Erlaubnisregeln zu erstellen.
Um zusätzliche Ausfallzeiten und Warnungen während der Bereitstellungs- und Wartungsfenster zu vermeiden, können Sie Application Control in einen für Wartungsfenster konzipierten Modus versetzen. Während der Wartungsmodus aktiviert ist, wird Application Control weiterhin Software sperren, die durch eine Application Control-Regel speziell gesperrt ist, aber es wird neue oder aktualisierte Software zulassen und diese automatisch zum Inventar des Computers hinzufügen.
Tipp
Tipp
Sie können den Wartungsmodus mithilfe der Server- und Workload Protection-API automatisieren. Weitere Informationen finden Sie im Leitfaden zur Konfiguration des Wartungsmodus während Upgrades.

Prozedur

  1. In der Server- und Workload Protection-Konsole gehen Sie zu Computers.
  2. Wählen Sie einen oder mehrere Computer aus und klicken Sie dann auf AktionenTurn On Maintenance Mode.
  3. Wählen Sie die Dauer Ihres Wartungsfensters aus.
    Der Wartungsmodus wird sich automatisch deaktivieren, wenn Ihr Wartungszeitfenster planmäßig endet. Alternativ, wenn Sie den Wartungsmodus manuell deaktivieren möchten, nachdem die Updates abgeschlossen sind, wählen Sie Indefinite.
    Auf dem Dashboard zeigt das Application Control Maintenance Mode Status-Widget an, ob der Befehl erfolgreich war.
  4. Software installieren oder aktualisieren.
  5. Wenn Sie sich entschieden haben, den Wartungsmodus manuell zu deaktivieren, denken Sie daran, den Wartungsmodus zu deaktivieren, um Softwareänderungen wieder zu erkennen.