Verhaltensüberwachung konfigurieren

Prozedur

1. Navigieren Sie wie folgt zum Bildschirm Richtlinie konfigurieren:
   • Klassischer Modus: Navigieren Sie zu SECURITY AGENTS und wählen Sie eine Gruppe aus. Klicken Sie auf → Richtlinie konfigurieren.
   • Erweiterter Modus: Navigieren Sie zu RICHTLINIEN → Richtlinienverwaltung. Klicken Sie auf Hinzufügen oder klicken Sie auf eine bereits vorhandene Richtlinie.
2. Klicken Sie auf Windows.
3. Navigieren Sie zu Verhaltensüberwachung.
4. Aktivieren Sie die Funktion unter Verhaltensüberwachung und konfigurieren Sie die erforderlichen Einstellungen.
5. Aktivieren Sie im Abschnitt Sperren des Malware-Verhaltens die entsprechende Funktion und geben Sie die zu sperrenden Bedrohungstypen an.
   • Bekannte und potenzielle Bedrohungen sperren: Hiermit wird mit bekannten Bedrohungen verbundenes Verhalten blockiert und es werden entsprechende Maßnahmen gegen potenziell bösartiges Verhalten ergriffen.
   • Bekannte Bedrohungen sperren: Hiermit wird mit bekannten Bedrohungen verbundenes Malware-Verhalten blockiert.
6. Wählen Sie im Abschnitt Schutz vor Ransomware aus, welche Funktionen aktiviert werden sollen, um Dokumente vor Ransomware-Bedrohungen zu schützen.
   • Dokumente vor nicht autorisierter Verschlüsselung oder Veränderung schützen: Beendet potentielle Ransomware-Bedrohungen, sodass sie Inhalte von Dokumenten nicht verschlüsseln oder verändern können.
     • Die durch verdächtige Programme geänderten Dateien automatisch sichern und wiederherstellen: Erstellt zur Vermeidung von Datenverlust Sicherungskopien von auf Endpunkten verschlüsselten Dateien, nachdem eine Bedrohung durch Ransomware erkannt wurde.

       Hinweis Zur automatischen Dateisicherung werden mindestens 100 MB Festplattenspeicher auf dem Agent-Endpunkt benötigt und es werden nur Dateien gesichert, die kleiner als 10 MB sind.

   • Prozesse sperren, die häufig mit Ransomware verknüpft sind: Sperrt Prozesse, die mit bekannten Ransomware-Bedrohungen verknüpft sind, bevor eine Verschlüsselung oder Veränderung von Dokumenten auftreten kann.
   • Programmüberprüfung zum Erkennen und Sperren gefährdeter ausführbarer Dateien aktivieren: Die Programmüberprüfung überprüft Prozesse und führt API-Hooking durch, um festzustellen, ob ein Programm unerwartetes Verhalten zeigt. Dieses Verfahren erhöht zwar den Gesamterkennungsgrad gefährdeter ausführbarer Dateien, setzt aber möglicherweise die Systemleistung herab.
7. Aktivieren Sie unter Schutz vor Schwachstellen die Option Programme beenden, die ungewöhnliches Verhalten im Zusammenhang mit Angriffen auf Schwachstellen zeigen, um Schutz vor Programmen mit Sicherheitslücken bereitzustellen.
8. Aktivieren Sie unter Intuit QuickBooks-Schutz die Option Unbefugte Änderungen an QuickBooks-Dateien und -Ordnern verhindern, um alle Intuit QuickBooks-Dateien und -Ordner vor unbefugten Änderungen durch andere Programme zu schützen. Diese Funktion wirkt sich nicht auf Änderungen aus, die innerhalb der Intuit QuickBooks-Programme vorgenommen werden.
   Folgende Produkte werden unterstützt:

   • QuickBooks Simple Start
   • QuickBooks Pro
   • QuickBooks Premier
   • QuickBooks Online

   Hinweis Da alle ausführbaren Intuit-Dateien über eine digitale Signatur verfügen, werden Updates dieser Dateien nicht gesperrt. Falls andere Programme versuchen, die binäre Intuit-Datei zu ändern, zeigt der Agent eine Nachricht mit dem Namen des Programms an, das versucht, die binären Dateien zu aktualisieren. Sie können andere Programme berechtigen, die Intuit-Dateien zu aktualisieren. Fügen Sie dazu das gewünschte Programm zur Ausnahmeliste der Verhaltensüberwachung auf dem Agent hinzu. Vergessen Sie nicht, das Programm nach dem Update aus der Ausnahmeliste zu entfernen.

9. Gehen Sie im Abschnitt Ereignisüberwachung wie folgt vor:
   1. Ereignisüberwachung aktivieren.
   2. Klicken Sie auf , um eine Liste der Systemereignisse unter Überwachte Systemereignisse angeben zu erweitern.
   3. Wählen Sie die zu überwachenden Systemereignisse und wählen Sie eine Aktion für die einzelnen ausgewählten Ereignisse.
      Weitere Informationen zu überwachten Systemereignissen und Aktionen finden Sie unter Ereignisüberwachung.
10. Klicken Sie auf Speichern.