Jeder Computer hat sein eigenes Regelwerk für die Application Control-Software. Sie
können:
-
Application Control-Softwareregelsets anzeigen und herausfinden, welche Regeln sie enthalten.
Tipp
Wenn Sie Application Control für einen Computer erstmals aktivieren, wird die auf dem Computer installierte Software dem Inventar des Computers hinzugefügt und darf ausgeführt werden. Sie können jedoch die mit dem Inventar verbundenen Regeln nicht von Server- und Workload Protection aus sehen, es sei denn, Sie verwenden die Deep Security Legacy REST API (siehe Verwenden Sie die API, um auf erweiterte Application Control-Funktionen zuzugreifen). In der Server- und Workload Protection-Konsole erscheint das Regelwerk eines Computers leer, bis Sie einige Erlauben/Sperren-Regeln für den Computer erstellen. -
Ändern Sie die Aktion einer Regel im Application Control-Software-Regelsatz, wenn eine Softwaredatei nicht mehr erlaubt/gesperrt sein soll.
-
Löschen Sie eine einzelne Application Control-Software-Regelsatzregel, wenn die Software entfernt wurde und wahrscheinlich nicht zurückkehrt.
-
Löschen Sie ein Application Control-Softwareregelwerk, wenn der mit dem Regelwerk verbundene Computer entfernt wurde.
|
TippWenn ein Benutzer meldet, dass Application Control Software blockiert, die er auf
einem bestimmten Computer ausführen muss, können Sie die Sperrregel auf diesem Computer
rückgängig machen. Gehen Sie zu , finden Sie den Computer, lokalisieren Sie das Sperrereignis und klicken Sie dann
auf View Rules. Im erscheinenden Pop-up können Sie die Sperrregel in eine Erlaubnisregel ändern.
|
Anwendungssteuerungs-Software-Regelsätze anzeigen 
Um die Liste der Application Control-Software-Regelsätze anzuzeigen, gehen Sie zu
.
Um zu sehen, welche Regeln Teil eines Regelsets sind, doppelklicken Sie auf das Regelset
und gehen Sie zum Regeln-Tab. Der Tab "Regeln" zeigt die Softwaredateien an, die mit Regeln verknüpft sind,
und ermöglicht es Ihnen, Erlaubnisregeln in Sperren zu ändern und umgekehrt. (Siehe
Ändern der Aktion einer Application Control-Regel.)
Sicherheitsereignisse
zeigt alle nicht erkannte Software an, die entweder auf einem Computer ausgeführt
wurde oder aktiv daran gehindert wurde, ausgeführt zu werden. Sie können diese Liste
nach Zeitraum und anderen Kriterien filtern. Für weitere Informationen siehe Application Control-Ereignisse.
Für jedes Ereignis (außer aggregierte Ereignisse) können Sie auf View rules klicken, um die Regel von Erlauben zu Sperren oder umgekehrt zu ändern.
Version 10.2+ des Agenten enthält eine Ereignisaggregationslogik, um das Volumen der
Protokolle zu reduzieren, wenn dasselbe Ereignis wiederholt auftritt. (Siehe Aggregierte Sicherheitsereignisse interpretieren.)
Ändern Sie die Aktion für eine Application Control-Regel
Wenn Sie eine Software zulassen möchten, die Sie zuvor gesperrt haben (oder umgekehrt),
können Sie die Aktion in der Regel bearbeiten. Wenn Sie die Regel rückgängig machen
möchten, damit die Software nicht von Application Control erkannt wird (mit anderen
Worten, die Regel löschen und nicht nur ihre Aktion ändern), siehe Eine einzelne Application Control-Regel löschen stattdessen.
Prozedur
- Gehe zu .
- Doppelklicken Sie, um das Regelset auszuwählen, das die Regel enthält, die Sie ändern
möchten.
- Im erscheinenden Pop-up-Fenster gehen Sie zum Regeln-Tab.
- Wenn Sie sich auf Software konzentrieren möchten, die gesperrt (oder erlaubt) wurde,
wählen Sie im Menü neben Application Control Regeln By Action aus, um ähnliche Regeln zu gruppieren. Alternativ können Sie die Suche verwenden,
um die Liste zu filtern.
Wenn Sie die Aktion für eine Softwaredatei ändern möchten, diese jedoch mehrere unterschiedliche Dateinamen hat, wählen Sie By File Name, um verwandte Regeln zu gruppieren. - Suchen Sie die Zeile für die spezifische Software, die Sie zulassen oder sperren möchten.
- Im Aktion-Spalte die Einstellung auf erlauben oder sperren ändern und dann auf OK klicken.Das nächste Mal, wenn der Agent eine Verbindung mit Server- und Workload Protection herstellt, wird die Regel aktualisiert und die Versionsnummer erhöht.
Nächste Schritte
Eine einzelne Application Control-Regel löschen
Wenn Sie eine von Ihnen erstellte Regel rückgängig machen möchten, gehen Sie zu , doppelklicken Sie auf das Regelset, das die Regel enthält, gehen Sie zum Regeln-Tab, wählen Sie die Regel aus und klicken Sie dann auf Löschen.
Einige Dinge, die Sie beachten sollten:
- Wenn die Regeln nicht mehr benötigt werden, können Sie sie löschen, um die Größe des Regelsatzes zu verringern. Dies verbessert die Leistung, indem der RAM- und die CPU-Auslastung reduziert werden.
- Wenn Sie eine Regel löschen, erkennt Application Control die Software nicht mehr. Wenn die Software erneut installiert wird, erscheint sie wieder auf der Aktionen-Registerkarte.
- Wenn ein Software-Update instabil ist und Sie möglicherweise ein Downgrade benötigen, behalten Sie Regeln bei, die einen Rollback auf die vorherige Softwareversion ermöglichen, bis Sie die Tests abgeschlossen haben.
- Um die ältesten Regeln zu finden, gehen Sie zu , und klicken Sie dann auf Columns. Wählen Sie Date/Time (Last Change), klicken Sie auf OK, und klicken Sie dann auf die Kopfzeile der Spalte, um nach Datum zu sortieren.
Ein Application Control-Regelsatz löschen
Wenn ein Application Control-Regelsatz nicht mehr verwendet wird (zum Beispiel, wenn
der mit dem Regelsatz verbundene Computer nicht mehr existiert), können Sie ihn löschen.
Um ein Regelwerk zu löschen, gehen Sie zu , klicken Sie auf ein Regelwerk, um es auszuwählen, und klicken Sie auf Löschen.