Produktübersicht

Über den Dienst

ESET Dynamic Threat Defense (Cloud Sandbox) ist ein zahlungspflichtiger Dienst von ESET. Zweck ist es, einen zusätzlichen Schutz gegen vollkommen neue Bedrohungen zu bieten.

Funktionsweise

Verdächtige Samples, die noch nicht als bösartig eingestuft wurden und möglicherweise Malware enthalten, werden automatisch an die ESET-Cloud übermittelt. Die eingesendeten Samples werden in einer Sandbox ausgeführt und von unseren modernen Malware-Erkennungsmodulen ausgewertet. Bösartige Samples oder verdächtige Spam-E-Mails werden an ESET LiveGrid® übermittelt. E-Mail-Anhänge werden separat behandelt und unterliegen der Übermittlung an ESET Dynamic Threat Defense. Administratoren oder Benutzer können den Umfang der eingesendeten Dateien sowie den Aufbewahrungszeitraum der Dateien in der ESET-Cloud festlegen. Dokumente und PDF-Dateien mit aktivem Inhalt (Makros, javascript) werden standardmäßig nicht übermittelt. Ausführliche Informationen zur Funktionsweise der Erkennungsebenen finden Sie hier.

Im Bereich Übermittelte Dateien in der Remoteverwaltung-Konsole erhalten Administratoren einen kurzen Bericht über das Verhalten des beobachteten Samples für jede der übermittelten Dateien. Wenn sich herausstellt, dass eine Datei bösartig ist, wird Sie für alle an ESET LiveGrid® teilnehmenden Benutzer als verdächtiges Objekt gesperrt. Als verdächtig eingestufte Dateien werden je nach Empfindlichkeitsschwelle auf allen Computern in der Organisation des Benutzers blockiert.

Je nach Policy-Konfiguration können Dateien manuell oder automatisch eingesendet werden. In der ESET PROTECT-Web-Konsole können Benutzer .exe-Dateien übermitteln, die von Clientgeräten gemeldet wurden.

Was sind die Unterschiede zwischen ESET Dynamic Threat Defense, ESET LiveGrid® und ESET Threat Intelligence?

Architektur

ESET-Sicherheitsprodukte und Verwaltungskonsole

Immer wenn ein Sample zur Analyse in ESET Dynamic Threat Defense hochgeladen wird, werden die Metadaten des Samples in der Verwaltungskonsole hochgeladen, falls sich der Client mit dem Server verbinden kann. Dies stellt dem Administrator der Konsole eine Liste von Samples zur Verfügung, die in die ESET-Cloud hochgeladen wurden.

ESET Sicherheitsprodukte und ESET Dynamic Threat Defense

Immer wenn ein aktiviertes und konfiguriertes ESET-Sicherheitsprodukt entscheidet, dass ein Sample analysiert werden muss, lädt es das Sample in ESET Dynamic Threat Defense hoch. Nachdem ESET Dynamic Threat Defense das Sample analysiert hat, wird das Ergebnis sowohl allen Computern im Unternehmen (oder MSP-Kunde) als auch allen Unternehmen, die diese Datei bereits einmal gesendet haben, bereitgestellt. Basierend auf der geltenden Policy nimmt das Sicherheitsprodukt dann eine entsprechende Aktion vor. In Version 7.2 und neuer der Endpoint- und Server-Produkte können Sie eine Aktion für verdächtige Dateien auswählen, die mit Browsern und E-Mail-Programmen heruntergeladen wurden.

Alle übertragenen Pakete werden von ESET signiert, um das Risiko eines Angriffs zu minimieren. Wenn Sie eine HTTP-Verbindung im internen Netzwerk verwenden, überprüft das Produkt immer, ob die Verbindung hinter einem Proxy zu HTTPS heraufgestuft wird. Falls der Proxy nicht korrekt konfiguriert ist, wird auch im internen Netzwerk eine HTTPS-Verbindung verwendet.

ESET-Verwaltungskonsolen und ESET Dynamic Threat Defense

ESET Dynamic Threat Defense ist in lokalen und cloudbasierten Verwaltungskonsolen verfügbar (ESET Security Management Center, ESET PROTECT, ESET PROTECT Cloud). Nachdem ESET Dynamic Threat Defense ein Sample von einem ESET-Sicherheitsprodukt erhält, informiert es die Verwaltungskonsole automatisch über den Status der Analyse. Sobald die Analyse abgeschlossen ist, werden die Ergebnisse an die Verwaltungskonsole übermittelt.

Roaming-Endpunkte & ESET Dynamic Threat Defense

Ein Roaming-Endpunkt ist jeder Client mit einem ESET-Sicherheitsprodukt, der außerhalb Ihres Unternehmensnetzwerks operiert und keine Verbindung zu ESMC hat. Normalerweise handelt es sich dabei um einen Computer zuhause oder auf einer Geschäftsreise ohne VPN. Ein Roaming-Client nutzt ESET Dynamic Threat Defense in vollem Umfang. Allerdings informiert er ESET PROTECT nicht über Samples, die zur Analyse eingesendet wurden. Wenn der Client in Ihr Unternehmensnetzwerk zurückkehrt und sich mit ESET PROTECT verbindet, werden die Metadaten synchronisiert und die Liste eingesendeter Dateien wird aktualisiert. Andere Clients in Ihrem Netzwerk können Updates für Bedrohungen erhalten, die während des Roamings eines Clients entdeckt wurden, noch bevor sich dieser Client mit der ESMC-Cloud synchronisiert.

Globale Datenbank

ESET Dynamic Threat Defense speichert die Hashes der Dateien und die Analyseergebnisse in zwei Azure-Rechenzentren (USA und Europa). Rechenzentren liefern schnellere Ergebnisse für bereits analysierte Dateien. In der ESET-Firmenzentrale (in der Slowakei) werden alle eingereichten Dateien gespeichert. Hier wird auch die Analyse ausgeführt. Die Daten aller Kunden (Unternehmen) werden separat in einer globalen Datenbank gespeichert. ESET leitet Benutzerverbindungen an das nächste Rechenzentrum.


important

Es wird dringend empfohlen, einen Proxy zum Speichern der Antworten von den ESET-Servern im Cache zu verwenden, insbesondere bei einer hohen Anzahl an Clientcomputern (Hunderte oder mehr), weil die Verwendung eines Proxy den Netzwerkverkehr deutlich reduzieren kann.

Sie können ausgewählte Ordner und Prozesse ausschließen, um die Anzahl der gesendeten Dateien zu reduzieren und die Gesamtleistung zu verbessern.

ESMC/ESET PROTECT und ESET Dynamic Threat Defense-Schema

architecture

ESET PROTECT Cloud und ESET Dynamic Threat Defense-Schema

eca_arch