Endpoint Security Policies konfigurieren

Prozedur

1. Navigieren Sie in der Trend Vision One Konsole zu Endpunktsicherheit → Endpoint Security Configuration → Endpoint Security Policies.
2. Erstellen oder bearbeiten Sie eine Richtlinie.
   • Klicken Sie auf Richtlinie hinzufügen, um eine neue Richtlinie zu erstellen.
   • Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf policy name.
   Das Fenster „Richtlinienkonfiguration“ wird angezeigt
3. Geben Sie einen eindeutigen Richtlinienname ein.

   Hinweis Sie können den Richtliniennamen für die Standard-Endpunkt-Richtlinie nicht bearbeiten.

4. Wählen Sie eine oder mehrere Endpunktgruppen aus, die der Richtlinie zugewiesen werden sollen.
   1. Klicken Sie im Feld Endpoint group auf das Bearbeitungssymbol ().
      Das Fenster Select Endpoint Group wird angezeigt.
   2. Suchen und wählen Sie die Endpunktgruppe aus, die Sie hinzufügen möchten.

      Wichtig Endpunktgruppen können jeweils nur einer Richtlinie zugewiesen werden. Wenn Sie eine Gruppe auswählen, die bereits einer Richtlinie zugewiesen ist, wird diese Endpunktgruppe der neuen Richtlinie zugeordnet. Das Auswählen einer Endpunktgruppe wählt automatisch alle untergeordneten Gruppen aus, einschließlich derjenigen, die bereits einer Richtlinie zugewiesen sind. Sie können die Auswahl für jede untergeordnete Gruppe aufheben, die Sie nicht in die neue Richtlinie aufnehmen möchten. Untergruppen können einer anderen Richtlinie als die übergeordnete Gruppe zugewiesen werden.

   3. Nachdem Sie eine oder mehrere Endpunktgruppen ausgewählt haben, klicken Sie auf Auswählen.
5. Konfigurieren Sie Ihre Prioritätsregeln.
   1. Um eine neue Prioritätsregel hinzuzufügen, klicken Sie auf Add Priority und geben Sie einen Namen für die Regel an.
      Neue Regeln werden automatisch als Priority 1 an den Anfang der Prioritätenliste hinzugefügt.
   2. Um die Reihenfolge Ihrer Prioritätsregeln zu ändern, klicken und ziehen Sie die Prioritätsregel, die Sie ändern möchten.
      Die Prioritätsregelnummer ändert sich automatisch.

      Beispielsweise wird durch das Verschieben von Priorität 1 unter Priorität 3 die ursprüngliche Priorität 1 automatisch zu Priorität 3, und die alte Priorität 2 und Priorität 3 werden entsprechend zu Priorität 1 und Priorität 2.
   3. Um den Namen einer Prioritätsregel zu ändern, klicken Sie auf das Optionssymbol neben dem Namen () und wählen Sie Umbenennen.
   4. Um eine Prioritätsregel zu löschen, klicken Sie auf das Optionssymbol neben dem Namen () und wählen Sie Löschen.

      Wichtig Sie können die Prioritätsregel Standard nicht löschen.

6. Klicken Sie auf die Prioritätsregel, die Sie konfigurieren möchten.
7. Konfigurieren Sie die Allgemeine Informationen-Einstellungen für die ausgewählte Prioritätsregel.

   Wichtig Wenn ein Endpunkt mehrere Prioritätsregel-Kriterien erfüllt, verwendet der Endpunkt die Regel mit der höchsten Priorität, die übereinstimmt. Wenn ein Endpunkt keine Prioritätsregelkriterien erfüllt, verwendet der Endpunkt die Standard-Prioritätsregel. Das Standard-Prioritätsregelkriterium ist Alle Endpunkte und kann nicht geändert werden.

   1. Wählen Sie den Kriterien aus.
   2. Geben Sie die Kriterienwerte an.
      Die Kriterien werden verwendet, um zu bestimmen, auf welche Endpunkte innerhalb der zugewiesenen Endpunktgruppen die Prioritätsregel angewendet wird. Die Eingabemethode für den Kriterienwert ändert sich je nach ausgewähltem Kriterientyp.

      Kriterienart	Beschreibung	Eingabemethode
      Endpunktname	Die Prioritätsregel gilt für jeden Endpunkt, der mindestens einen angegebenen Wert im Endpunktname enthält Zum Beispiel, wenn Sie Test angeben, gilt die Prioritätsregel für den Endpunkt Test01.	Geben Sie einen Wert ein und trennen Sie die Werte entweder durch ein Komma (,) oder drücken Sie die EINGABETASTE.
      Betriebssystem	Die Prioritätsregel gilt für jeden Endpunkt mit dem angegebenen Betriebssystem	Klicken Sie auf das Bearbeitungssymbol (), um die OS-Familie oder eine bestimmte OS-Version auszuwählen.
      IP-Bereich	Die Prioritätsregel gilt für jeden Endpunkt mit einer IP-Adresse innerhalb eines der angegebenen Bereiche	Geben Sie einen IP-Bereich entweder im IPv4- oder IPv6-Format an. Klicken Sie auf das Hinzufügen-Symbol (), um bis zu 3 IP-Bereiche hinzuzufügen.

   3. Um weitere Kriterien zur ausgewählten Prioritätsregel hinzuzufügen, klicken Sie auf Kriterien hinzufügen und wählen Sie den Kriterientyp aus.
      Prioritätsregeln verwenden die UND-Logik, wenn mehrere Kriterien übereinstimmen. Endpunkte müssen alle definierten Kriterien erfüllen, um die Prioritätsregel anzuwenden.

      Zum Beispiel, wenn Kriterium 1 Windows ist und Kriterium 2 ein definierter IP-Bereich ist, dann gilt die Prioritätsregel nicht für Linux-Endpunkte innerhalb des definierten IP-Bereichs.

      Wichtig Stellen Sie sicher, dass Sie keine Prioritätsregel erstellen, die für Endpunkte unmöglich zu erfüllen ist. Trend Micro empfiehlt, denselben Kriterientyp nicht mehr als einmal in einer Prioritätsregel zu verwenden.

8. Konfigurieren Sie das Sensor Settings für die ausgewählte Prioritätsregel.
   Aktivieren Sie die folgenden Einstellungen, um die Funktionen für Ihre Endpunkt-Agenten zu aktivieren.

   Wichtig Bestimmte Einstellungen erfordern Credits, um aktiviert zu werden. Wenn Sie die Erkennung und Reaktion des Endpoint Sensors zum ersten Mal aktivieren, installieren Ihre derzeit bereitgestellten Trend Vision One Endpoint Security Agents die neue Prüf-Engine für Netzwerkinhalte. Weitere Informationen finden Sie unter Prüf-Engine für Netzwerkinhalte für Endpoint Sensor. Das Aktivieren der Erkennung und Reaktion des Endpoint Sensors deaktiviert automatisch die Aktivitätsüberwachung auf Agenten, die von Server & Workload Protection verwaltet werden. Weitere Informationen finden Sie unter Automatisches Deaktivieren der Aktivitätsüberwachung nach dem Update auf Server & Workload Protection.

   Einstellung	Beschreibung
   Endpoint sensor detection and response	Sendet Aktivitätsdaten für hochmoderne Bedrohungserkennung und Warnungen (erforderlich für erweiterte XDR-Erkennungen und Workbench-Warnungen) Die Erkennungs- und Reaktionsfunktion sammelt Endpunkt-Aktivitätsdaten, die helfen, Warnungen und erweiterte Untersuchungsdaten bereitzustellen, wann immer ein Verdacht auf einen Angriff besteht. Die gesammelten Daten werden auch von Verwaltung der Cyber-Risikoexposition-Anwendungen verwendet, um gefährliches Endpunkt- und Benutzerverhalten zu identifizieren und Endpunkt-Schwachstellen zu erkennen.
   Monitoring level	Steuert die Empfindlichkeit der Endpoint Sensor-Erkennungen Erfordert die Aktivierung von Endpoint sensor detection and response. Erhöhen des Überwachungsniveaus erhöht die Empfindlichkeit des Endpoint Sensors, was die Anzahl der Erkennungen und Warnungen erhöht. Höhere Niveaus ermöglichen eine strengere Überwachung, können jedoch eine große Anzahl nicht wesentlicher Protokolle erzeugen und die Leistung des Endpunkts beeinträchtigen. Die Standardeinstellung ist 2 - Moderate. Trend Micro empfiehlt, die Standardeinstellung zu verwenden, um relevantere Daten mit minimalen Auswirkungen auf Ihre Endpunkte auszugleichen. Weitere Informationen finden Sie unter Überwachungsstufe. Wenn der hypersensitive Modus in den Unterstützungseinstellungen aktiviert ist, können Sie Enable hypersensitive mode auswählen, um ihn auf Endpunkten zu aktivieren, die von der Priorität betroffen sind. Der hypersensitive Modus wird nach sieben Tagen automatisch deaktiviert. Nach der Deaktivierung des hypersensitiven Modus kehrt die Priorität zu Ihrem zuvor konfigurierten Überwachungsniveau zurück. Für weitere Informationen siehe Support-Einstellungen. Wichtig Überwachungsstufe unterstützt nur Windows-Endpunkte.
   Deepfake detector	Analysiert laufende Videoanrufe, um festzustellen, ob sie synthetisierte Bilder enthalten, und Microsoft Teams auf synthetisierte Stimmen Erfordert die Aktivierung von Endpoint sensor detection and response. Wichtig Deepfake-Detektor unterstützt nur Agenten, die auf Windows 64-Bit-Endpunkten installiert sind.
   Data Detection and Response	Analysiert die Bewegung sensibler Daten, wie in einer Richtlinie in der Datensicherheit definiert. Diese Einstellung ist erforderlich für Folgendes: Überwachung lokaler Assets und Geräte auf sensible Daten im Data Inventory. Weitere Informationen finden Sie unter Data Inventory. Verfolgen der Bewegung sensibler Daten in einem Data Lineage-Diagramm in Observed Attack Techniques und Workbench. Für weitere Informationen siehe Datenherkunft. Erfordert die Aktivierung von Endpoint sensor detection and response.
   Browser extension	Lädt die Trend Micro Toolbar für die Enterprise Browser-Erweiterung auf Endpunkten mit Google Chrome und Microsoft Edge herunter und installiert sie Das Aktivieren der Browser-Erweiterung hilft, Sicherheitsfunktionen wie das Blockieren von URLs und Domains, die Ihrer Liste der Verdächtigen Objekte hinzugefügt wurden, zu verbessern. Erfordert das Aktivieren von Endpoint sensor detection and response. Wichtig Die Trend Micro Toolbar für Unternehmen unterstützt nur Google Chrome und Microsoft Edge auf Windows 64-Bit-Endpunkten. Die Browser-Erweiterung unterstützt Windows Server 2008 R2 (64-Bit) nicht. Die Browser-Erweiterung verwendet die folgenden Dienste, um mit dem Agenten zu kommunizieren: Trend Micro Netzwerkdienst (tm_netsrv.exe) Trend Micro Web Reputation App (dsa-wrs-app.exe) Das Deaktivieren der Browser-Erweiterung deinstalliert die Trend Micro Toolbar für die Enterprise-Browser-Erweiterung von den Endpunkten, die der Richtlinie zugewiesen sind.
   Advanced risk telemetry	Analysiert Endpunkte auf potenzielle Schwächen in der Sicherheitslage und führt Schwachstellenbewertungen für Zero-Day-Bedrohungen durch Wichtig Nicht unterstützt auf macOS oder nicht-persistenten virtuellen Desktops. Die erweiterte Risiko-Telemetrie-Funktion sammelt Daten, die speziell dazu beitragen, Zero-Day-Bedrohungen zu erkennen und Schwachstellen in Ihren Endpunkt-, Benutzer- und Sicherheitskonfigurationseinstellungen zu identifizieren.
   Agent console	Ermöglicht Endpunktbenutzern die Interaktion mit dem Trend Vision One Endpoint Security Agent, um Benachrichtigungen zu erhalten und Informationen wie den Sensorstatus anzuzeigen Wichtig Agent-Konsoleneinstellungen, einschließlich benutzerdefinierter Benachrichtigungen, gelten nur für Windows-Agenten. Aktivieren, um Benutzern den Zugriff auf die Agentenkonsole zu ermöglichen. Deaktivieren, um den Zugriff zu sperren. Sie können auch die folgenden Benachrichtigungen aktivieren, deaktivieren und anpassen: Wenn die Isolieren-Endpunkt-Antwortaktion den Endpunkt anvisiert. Für weitere Informationen zu Antwortaktionen siehe Reaktionsmanagement. Wenn der Deepfake-Detektor deepfake-Inhalte erkennt.

9. Nachdem Sie alle Ihre Prioritätsregeln konfiguriert haben, klicken Sie auf Speichern.

   Tipp Wenn Sie eine neue Richtlinie erstellen, stellen Sie sicher, dass Sie die Prioritätsregel Standard konfigurieren.