Ansichten:
Warnung
Warnung
Aktivieren Sie Automatische Anwendung der Kern-Endpunkt- und Workload-Regeln nicht, wenn Sie die klassische Empfehlungssuche verwenden.
Während eines klassischen Empfehlungsdurchlaufs durchsuchen die Agenten Folgendes:
  • Installierte Anwendungen
  • Windows-Registrierung
  • Offene Ports
  • Verzeichnisauflistung
  • Dateisystem
  • Laufende Prozesse und Dienste
  • Umgebungsvariablen
  • Benutzer

DURCHSUCHEN-Einschränkungen

Technische und logische Einschränkungen können ungenaue oder fehlende Empfehlungen für einige Arten von Software verursachen.
  • Klassische Empfehlungsscans beinhalten nicht Folgendes:
    • Regeln zum Schutz von Webanwendungen.
    • Auf Windows-Systemen regeln OpenSSL, welche eine Anwendung intern verwendet. Der Scanner kann nur Empfehlungen für OpenSSL geben, wenn Sie es ausdrücklich installieren.
  • Der Scanner kann unnötige Regeln für die folgenden Technologien empfehlen:
    • Red Hat JBoss
    • Eclipse Jetty
    • Apache Struts
    • Oracle WebLogic
    • WebSphere
    • Oracle Application Testing Suite
    • Oracle Golden Gate
    • Nginx
    • Adobe Flash Player-Plug-in für Chrome - Empfehlungen basieren auf der Chrome-Version.
    • Ein Content-Management-System (CMS) und alle CMS-Plugins - Für einen Webserver mit PHP empfiehlt der Scan alle Regeln zum Eindringschutz, die mit dem CMS in Verbindung stehen.
  • Auf Linux-Systemen:
    • Wenn Webbrowser der einzige anwendbare Vektor für Java-bezogene Schwachstellen sind, empfiehlt der Scanner solche Regeln nicht.
  • Auf Unix- oder Linux-Systemen:
    • Die klassische Empfehlung für die Scan-Engine könnte Schwierigkeiten haben, Software zu erkennen, die nicht über den Standard-Paketmanager des Betriebssystems installiert wurde. Anwendungen, die mit Standard-Paketmanagern installiert werden, haben dieses Problem nicht.
    • Empfehlungen beinhalten keine Regeln für Schwachstellen von Desktop-Anwendungen oder lokale Schwachstellen. Zum Beispiel Browser und Mediaplayer.
Zugehörige Informationen

Führen Sie einen klassischen Empfehlungsscan durch

Führen Sie Empfehlungsscans regelmäßig durch (die beste Praxis ist wöchentlich), da jede Änderung in Ihrer Umgebung die Regelvorschläge beeinflussen kann. Idealerweise sollten Sie Empfehlungsscans kurz nach der Veröffentlichung neuer Regeln zum Eindringschutz jeden Dienstag durch Trend Micro planen. Der Einsatz von Systemressourcen, einschließlich CPU-Zyklen, Speicher und Netzwerkbandbreite, nimmt während eines klassischen Empfehlungsscans zu, daher sollten die Scans zu Zeiten mit geringer Auslastung geplant werden. Nach dem Ausführen eines Empfehlungsscans erscheinen Warnungen auf allen Computern, die Empfehlungen haben.
Hinweis
Hinweis
Sie benötigen eine Endpoint & Workload Security-Lizenz, um Empfehlungsscans durchzuführen.
Sie können Empfehlungsscans mit einer der folgenden Methoden durchführen:

Prozedur

  • Erstellen Sie eine geplante Aufgabe, die Empfehlungsscans gemäß einem von Ihnen konfigurierten Zeitplan durchführt. Sie können die geplante Aufgabe allen Computern, einem einzelnen Computer, einer definierten Computergruppe oder allen Computern zuweisen, die durch eine bestimmte Richtlinie geschützt sind.
    Hinweis
    Hinweis
    Geplante Aufgaben und laufende Durchsuchungen können klassische Empfehlungsscans unabhängig mit ihren eigenen Einstellungen durchführen. Verwenden Sie entweder die geplanten Aufgaben oder die laufenden Durchsuchungen, aber nicht beides.
  • Konfigurieren Sie eine laufende Scan-Richtlinie, um eine Gruppe von Computern regelmäßig auf Empfehlungen zu durchsuchen. Sie können auch laufende Scans für einzelne Computer konfigurieren. Diese Art von Scan überprüft die Zeit, zu der der letzte Scan stattgefunden hat, und wartet ein konfiguriertes Intervall, um zu scannen. Dies führt dazu, dass Empfehlungsscans zu unterschiedlichen Zeiten in Ihrer Umgebung stattfinden. Laufende Scans sind hilfreich in Umgebungen, in denen ein Agent möglicherweise nur für kurze oder unregelmäßige Zeiträume online ist. Zum Beispiel Cloud-Umgebungen, die häufig Instanzen erstellen und abbauen.
  • Führen Sie manuell eine einzelne Empfehlungssuche auf einem oder mehreren Computern durch. Eine manuelle Suche ist nützlich, wenn Sie kürzlich bedeutende Änderungen an der Plattform oder Anwendung vorgenommen haben und eine Überprüfung auf neue Empfehlungen erzwingen möchten, anstatt auf eine geplante Aufgabe zu warten.
  • Verwenden Sie die Server- und Workload Protection Befehlszeilenschnittstelle (CLI), um eine klassische Empfehlung zu durchsuchen. Siehe Befehlszeilenprogramme.
  • Verwenden Sie die Server- und Workload Protection Anwendungsprogrammierschnittstelle (API), um eine klassische Empfehlung zu durchsuchen. Siehe Wie man die Server- und Workload Protection REST-API verwendet.
Die Ergebnisse des neuesten Empfehlungsscans erscheinen auf der Registerkarte Allgemein des Schutzmoduls für Eindringungsschutz, Integritätsüberwachung oder Protokollinspektion.

Führen Sie manuell einen klassischen Empfehlungsscan durch

Prozedur

  1. Gehen Sie in der Server- und Workload Protection-Konsole zu Computers.
  2. Wählen Sie aus, welche Computer Sie DURCHSUCHEN möchten.
  3. Klicken Sie auf AktionenScan for Recommendations.
Die Ergebnisse des neuesten Empfehlungsscans erscheinen auf der Registerkarte Allgemein des Schutzmoduls für Eindringungsschutz, Integritätsüberwachung oder Protokollinspektion.

Einen klassischen Empfehlungsscan abbrechen

Sie können eine klassische Empfehlungssuche abbrechen, bevor sie gestartet wird.

Prozedur

  1. Gehen Sie in der Server- und Workload Protection-Konsole zu Computers.
  2. Wählen Sie die Computer aus, bei denen Sie die Durchsuchungen abbrechen möchten.
  3. Klicken Sie auf AktionenCancel Recommendation Scan.

Fehlerbehebung klassische Empfehlung durchsuchen

Die folgenden Tipps können Ihnen helfen, klassische Empfehlungsscans zu beheben: