Ansichten:
Das Schutzmodul zur Integritätsüberwachung erkennt Änderungen an Dateien und kritischen Systembereichen wie der Windows-Registrierung, die auf verdächtige Aktivitäten hinweisen könnten. Das Modul tut dies, indem es die aktuellen Bedingungen mit einem zuvor aufgezeichneten Basiswert vergleicht. Server- und Workload Protection verfügt über vordefinierte Regeln zur Integritätsüberwachung und stellt neue Regeln zur Integritätsüberwachung in Sicherheitsupdates bereit.
Die Integritätsüberwachung erkennt Änderungen am System, verhindert oder rückgängig macht diese jedoch nicht.
Hinweis
Hinweis
Sie benötigen eine Workload-Lizenz, um die Integritätsüberwachung zu aktivieren.

Integritätsüberwachung aktivieren Übergeordnetes Thema

Sie können die Integritätsüberwachung in Richtlinien oder auf Computerebene aktivieren. Die Aktivierung der Integritätsüberwachung umfasst mehrere Verfahren:

Prozedur

  1. Integritätsüberwachung aktivieren.
  2. Führen Sie einen Empfehlungsscan durch.
  3. Wenden Sie die Integritätsüberwachungsregeln an.
  4. Erstellen Sie eine Basislinie für den Computer.
  5. Änderungen regelmäßig durchsuchenÄnderungen regelmäßig DURCHSUCHEN.
  6. Integritätsüberwachung testen.

Nächste Schritte

Wenn Sie die Integritätsüberwachung aktivieren, sollten Sie mehr über deren Funktionen erfahren:

Integritätsüberwachung aktivieren Übergeordnetes Thema

Sie können die Integritätsüberwachung in den Einstellungen für einen Computer oder in Richtlinien aktivieren.

Prozedur

  1. Öffnen Sie den Richtlinien- oder Computer-Editor.
  2. Navigieren Sie zu IntegritätsüberwachungAllgemein.
  3. Wählen Sie die Konfiguration:
  4. Klicken Sie auf Save.

Empfehlungsdurchsuchung ausführen Übergeordnetes Thema

Führen Sie einen Empfehlungs-Durchsuchung auf dem Computer durch, um Empfehlungen für geeignete Regeln zu erhalten. Empfohlene Integritätsüberwachungsregeln können zu vielen überwachten Entitäten und Attributen führen. Die beste Praxis besteht darin, zu entscheiden, was kritisch ist und überwacht werden sollte, dann benutzerdefinierte Regeln zu erstellen oder die vordefinierten Regeln anzupassen. Achten Sie besonders auf Regeln, die häufig geänderte Eigenschaften wie Prozess-IDs und Quellportnummern überwachen, da solche Regeln störend sein können und möglicherweise angepasst werden müssen.

Prozedur

  1. Navigieren Sie über den Computer-Editor zu IntegritätsüberwachungAllgemein.
  2. Auf der Registerkarte Allgemein unter Empfehlungen klicken Sie auf Scan for Recommendations.
  3. Geben Sie an, ob Server- und Workload Protection die gefundenen Empfehlungen umsetzen soll.

Echtzeitsuche deaktivieren Übergeordnetes Thema

Wenn Sie Echtzeitsuchen zur Integritätsüberwachung aktivieren und feststellen, dass einige empfohlene Regeln zu viele Ereignisse erzeugen, können Sie die Echtzeitsuche für diese Regeln deaktivieren.

Prozedur

  1. Navigieren Sie zu RichtlinienCommon ObjectsRegelnIntegrity Monitoring Rules.
  2. Doppelklicken Sie auf die Regel.
  3. Auf der Registerkarte Optionen deaktivieren Sie das Kontrollkästchen Allow Real Time Monitoring.

Integritätsüberwachungsregeln anwenden Übergeordnetes Thema

Wenn Sie einen Empfehlungs-Scan durchführen, können Sie Server- und Workload Protection die empfohlenen Regeln automatisch implementieren lassen oder die Regeln manuell zuweisen. Sie können eine Regel lokal bearbeiten, sodass die Änderungen nur für diesen Computer oder diese Richtlinie gelten, oder global, sodass die Änderungen für alle Richtlinien oder Computer gelten, die die Regel verwenden. Sie können auch benutzerdefinierte Regeln erstellen, um spezifische Änderungen zu überwachen, die für Ihre Organisation von Bedeutung sind, wie z. B. das Hinzufügen eines neuen Benutzers oder die Installation neuer Software. Informationen zum Erstellen einer benutzerdefinierten Regel finden Sie unter Integritätsüberwachungs-Regelsprache.
Einige Integritätsüberwachungsregeln erfordern eine lokale Konfiguration. Wenn Sie eine dieser Regeln Ihren Computern zuweisen oder eine dieser Regeln automatisch zugewiesen wird, benachrichtigt Sie eine Warnung, die Regel zu konfigurieren.
Tipp
Tipp
Integritätsüberwachungsregeln sollten so spezifisch wie möglich sein, um die Leistung zu verbessern und Konflikte sowie Fehlalarme zu vermeiden. Erstellen Sie beispielsweise keine Regel, die das gesamte Laufwerk überwacht.

Prozedur

  1. Im Computer- oder Richtlinien-Editor gehen Sie zu IntegritätsüberwachungAllgemein.
  2. Überprüfen Sie die Liste der Assigned Integrity Monitoring Rules.
  3. Um eine Regel zuzuweisen oder die Zuweisung aufzuheben:
    1. Klicken Sie auf Assign/Unassign.
    2. Regeln auswählen oder abwählen.
  4. Um eine Regel lokal zu bearbeiten, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Eigenschaften aus.
  5. Um eine Regel global zu bearbeiten, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Properties (Global) aus.

Erstellen Sie eine Basislinie für den Computer Übergeordnetes Thema

Die Basislinie ist der ursprüngliche sichere Zustand, der mit den Ergebnissen der Integritätsdurchsuchung verglichen wird. Eine bewährte Methode ist es, nach der Anwendung von Patches eine neue Basisliniendurchsuchung durchzuführen.
Um eine neue Basislinie für Integritätsdurchsuchungen auf einem Computer zu erstellen:

Prozedur

  1. Wählen Sie im Computer-Editor IntegritätsüberwachungAllgemein.
  2. Klicken Sie auf Rebuild Baseline.

Änderungen regelmäßig durchsuchen Übergeordnetes Thema

Führen Sie einen Integritätsüberwachungs-Durchlauf mit einer der folgenden Methoden durch:
  • On-demand scans initiiert bei Bedarf einen On-Demand-Integritätsüberwachungs-Durchlauf.
    1. Navigieren Sie über den Computer-Editor zu IntegritätsüberwachungAllgemein.
    2. Klicken Sie unter Integrity Scan auf Scan for Integrity.
  • Scheduled scans plant die Integritätsüberwachungsscans genauso wie andere Server- und Workload Protection-Operationen. Server- und Workload Protection überprüft, ob die Entitäten überwacht werden, und zeichnet ein Ereignis für alle Änderungen seit dem letzten Scan auf. Dieser Scan erkennt nur die letzte Änderung; er verfolgt keine mehrfachen Änderungen zwischen den Scans. Um mehrere Änderungen am Zustand einer Entität zu erkennen und zu melden, erhöhen Sie die Häufigkeit der zeitgesteuerten Suchläufe oder aktivieren Sie die Echtzeitsuche. Für weitere Informationen zu geplanten Aufgaben siehe Planen Sie Server- und Workload Protection zur Durchführung von Aufgaben.
    1. Wählen Sie AdministrationScheduled TasksNeu aus.
    2. Im Assistenten für neue geplante Aufgaben wählen Sie Scan Computers for Integrity Changes.
    3. Wählen Sie die Häufigkeit für die zeitgesteuerte Suche.
    4. Geben Sie die vom Assistenten für neue geplante Aufgaben angeforderten Informationen an.
  • Real-time scans überwacht Änderungen in Echtzeit und erstellt Integritätsüberwachungsereignisse, wenn die Suche Änderungen erkennt. Ereignisse werden in Echtzeit über Syslog an das Sicherheitsinformations- und Ereignismanagement (SIEM) weitergeleitet oder bei der nächsten Herzschlagkommunikation mit Server- und Workload Protection übermittelt. Für Agent-Versionen 11.0 oder später auf 64-Bit-Linux-Plattformen und Agenten-Version 11.2 oder später auf 64-Bit-Windows-Servern zeigen die Ergebnisse der Echtzeitsuche den Benutzer und den Prozess an, der die Datei geändert hat. Einzelheiten dazu, welche Plattformen diese Funktion unterstützen, finden Sie unter Unterstützte Funktionen nach Plattform.
    Die Echtzeitüberwachung eines gesamten Laufwerks auf Änderungen an beliebigen Dateien kann die Leistung beeinträchtigen und zu vielen Ereignissen führen. Trend Micro empfiehlt, einen anderen Ordner als das Stammverzeichnis anzugeben. Wenn Sie sich entscheiden, das Stammverzeichnis (C:) in Echtzeit zu überwachen, überwacht Server- und Workload Protection nur ausführbare Dateien und Skripte.
    1. Gehen Sie im Computer oder im Richtlinien-Editor zu IntegritätsüberwachungAllgemein.
    2. Wählen Sie Real Time.

Integritätsüberwachung testen Übergeordnetes Thema

Bevor Sie mit der Konfiguration der Integritätsüberwachung fortfahren, überprüfen Sie, ob die Regeln und die Basislinie korrekt funktionieren:

Prozedur

  1. Stellen Sie sicher, dass die Integritätsüberwachung aktiviert ist.
  2. Vom Computer- oder Richtlinien-Editor aus gehen Sie zu IntegritätsüberwachungAssigned Integrity Monitoring Rules.
  3. Klicken Sie auf Assign/Unassign.
  4. Aktivieren Sie die entsprechende Regel für das Betriebssystem:
    • Für Windows suchen Sie nach 1002773 - Microsoft Windows - 'Hosts' file modified und aktivieren Sie die Regel. Diese Regel löst einen Alarm aus, wenn Änderungen an C:\windows\system32\drivers\etc\hosts. vorgenommen werden
    • Für Linux suchen Sie nach 1003513 - Unix - File attributes changes in /etc location und aktivieren Sie die Regel. Diese Regel löst einen Alarm aus, wenn Änderungen an der /etc/hosts-Datei vorgenommen werden.
  5. Ändern Sie die Hosts-Datei und speichern Sie die Änderungen.
  6. Navigieren Sie zu IntegritätsüberwachungAllgemein.
  7. Klicken Sie auf Scan for Integrity.
  8. Navigieren Sie zu Events & ReportsIntegrity Monitoring Events.
  9. Überprüfen Sie den Eintrag für die geänderte Host-Datei. Ein Eintrag der Erkennung zeigt an, dass die Integritätsüberwachung korrekt funktioniert.

Verbessern Sie die Leistung der Integritätsüberwachung beim DURCHSUCHEN Übergeordnetes Thema

Sie können die folgenden Einstellungen ändern, um die Leistung der Integritätsüberwachungs-Durchsuchungen zu verbessern:

Ressourcennutzung begrenzen Übergeordnetes Thema

Die Integritätsüberwachung nutzt lokale CPU-Ressourcen, wenn sie die Basislinie erstellt und einen späteren Zustand mit der Basislinie vergleicht. Wenn Sie feststellen, dass die Integritätsüberwachung mehr Ressourcen verbraucht, als Sie möchten, können Sie die CPU-Auslastung auf die folgenden Stufen beschränken:
  • Hoch führt Suchläufe ohne Pause durch.
  • Mittel pausiert zwischen dem Scannen von Dateien, um CPU-Ressourcen zu schonen.
  • Niedrig pausiert zwischen dem Scannen von Dateien für ein längeres Intervall als die Einstellung Mittel.
Um die Integrity Monitoring CPU Usage Level zu ändern:

Prozedur

  • Öffnen Sie den Computer- oder Richtlinien-Editor und gehen Sie zu IntegritätsüberwachungErweitert.

Ändern Sie den Inhalts-Hash-Algorithmus Übergeordnetes Thema

Sie können den Hash-Algorithmus auswählen, den die Integritätsüberwachung zur Speicherung von Basisinformationen verwendet. Vermeiden Sie die Verwendung von mehr als einem Algorithmus, um negative Auswirkungen auf die Leistung zu verhindern.

Ereignis-Tagging zur Integritätsüberwachung Übergeordnetes Thema

Das Taggen von Ereignissen kann Ihnen helfen, Ereignisse zu sortieren und festzustellen, welche legitim sind und welche einer weiteren Untersuchung bedürfen.
Wenden Sie Tags manuell auf Ereignisse an, indem Sie mit der rechten Maustaste auf das Ereignis klicken und Add Tag(s) auswählen. Sie können das Tag nur auf das ausgewählte Ereignis oder auf ähnliche Ereignisse der Integritätsüberwachung anwenden. Sie können auch die automatische Tagging-Funktion verwenden, um mehrere Ereignisse zu gruppieren und zu kennzeichnen.
Sie können diese Quellen für die Markierung verwenden:
  • Ein lokaler vertrauenswürdiger Computer.
  • Der Trend Micro Certified Safe Software Service.
  • Ein vertrauenswürdiger gemeinsamer Ausgangspunkt, der eine Sammlung von Dateizuständen ist, die von einer Gruppe von Computern gesammelt wurden.
    Ab dem 1. Januar 2022 ist die Trusted Common Baseline nicht mehr verfügbar. Ereignisse, die vor dem 12. Juli 2021 markiert wurden, behalten ihre Markierungen, aber Sie müssen andere Methoden verwenden, um neuere Ereignisse der Integritätsüberwachung zu markieren.
Weitere Informationen zum Taggen von Ereignissen finden Sie unter Tags anwenden, um Ereignisse zu identifizieren und zu gruppieren.

Prozedur

  • Um die automatische Kennzeichnung zu konfigurieren, gehen Sie zu Events and ReportsIntegrity Monitoring EventsAuto-TaggingNew Trusted Source.