Bedrohungen

Im Abschnitt Bedrohungen finden Sie eine Übersicht über die Bedrohungen, die auf den von Ihrem Konto verwalteten Geräten gefunden wurden. Auf der linken Seite wird die Gruppenstruktur angezeigt.

Sie können die Gruppen durchsuchen und erkannte Bedrohungen für Mitglieder einer bestimmten Gruppe anzeigen. Um alle Bedrohungen auf den Clients anzuzeigen, die zu den Gruppen für Ihr Konto zugewiesen sind, wählen Sie die Gruppe Alle aus und verwenden Sie den Filter Alle Bedrohungsarten. Klicken Sie auf eine Bedrohung, um die Kontextmenüoptionen für das Gerät anzuzeigen, auf dem die Bedrohung erkannt wurde.

validation-status-icon-warning WICHTIG

Bei der Datenbank-Bereinigung werden Elemente unter Bedrohungen, die mit den bereinigten Vorfall-Logs zusammenhängen, unabhängig vom Bedrohungsstatus ebenfalls gelöscht. Der Bereinigungszeitraum für Vorfall-Logs und Bedrohungen ist standardmäßig auf sechs Monate festgelegt. Sie können das Intervall in den Servereinstellungen ändern.

Bedrohungsarten

Aktive Bedrohungen – Aktive Bedrohungen sind Bedrohungen, die noch nicht gesäubert wurden. Um die Bedrohung zu bereinigen, führen Sie einen Tiefen-Scan mit aktivierter Säuberung im Ordner aus, der die Bedrohung enthält. Der Scan-Task muss erfolgreich abgeschlossen werden, um die Bedrohung zu entfernen und das Ereignis zu eliminieren. Wenn eine aktive Bedrohung nicht innerhalb von 24 Stunden nach der Erkennung aufgelöst wird, verliert sie den Status Aktiv, ist jedoch weiterhin nicht aufgelöst.

Aufgelöste Bedrohungen – Diese Bedrohung wurden von einem Benutzer als aufgelöst markiert, jedoch noch nicht mit einer Tiefenprüfung geprüft. Geräte mit aufgelösten Bedrohungen werden weiterhin in der Filteransicht angezeigt, bis eine Prüfung durchgeführt wurde.

threats_details

Filtern Bedrohungen

Standardmäßig werden alle Bedrohungsarten der letzten sieben Tage angezeigt, inklusive der erfolgreich gesäuberten Bedrohungen. Sie können die Bedrohungen nach verschiedenen Kriterien filtern: Computer stummgeschaltet und Bedrohung gelöst werden standardmäßig angezeigt. Für eine differenziertere Ansicht können Sie weitere Filter hinzufügen, wie etwa Bedrohungskategorie (Virenschutz, Blockierte Dateien, Enterprise Inspector, Firewall und HIPS), Bedrohungsart, die IP-Adresse des Clients, der die Bedrohung gemeldet hat oder den Namen des Scans.

Filter und Voreinstellungen für Filter hinzufügen

Um Filterkriterien hinzuzufügen, klicken Sie auf Filter hinzufügen und wählen Sie Elemente aus der Liste aus. Geben Sie die Suchzeichenfolgen in die Filterfelder ein. Aktive Filter werden in blau hervorgehoben.

Sie können Filter in Ihrem Benutzerprofil speichern, um sie später wiederzuverwenden. Unter Voreinstellungen haben Sie die folgenden Optionen zur Auswahl:

Filtersätze – Ihre gespeicherten Filter. Klicken Sie auf einen Filter, um ihn anzuwenden. Der angewendete Filter wird mit einem Häkchen apply_default gekennzeichnet. Wählen Sie Sichtbare Spalten, Sortierung und Seitenumbrüche einbeziehen aus, um diese Parameter in der Voreinstellung zu speichern.

add_new_defaultFiltersatz speichern – Speichern Sie Ihre aktuelle Filterkonfiguration als neue Voreinstellung. Nachdem Sie die Voreinstellung gespeichert haben, können Sie die Filterkonfiguration in der Voreinstellung nicht mehr bearbeiten.

edit_defaultFiltersätze verwalten – Hier können Sie vorhandene Voreinstellungen entfernen oder umbenennen. Klicken Sie auf Speichern, um Ihre Änderungen an den Voreinstellungen zu übernehmen.

Filterwerte löschen – Mit dieser Option können Sie die aktuellen Werte aus den ausgewählten Filtern löschen. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Filter entfernen – Mit dieser Option können Sie die ausgewählten Filter entfernen. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Nicht verwendete Filter entfernen – Mit dieser Option können Sie Filterfelder ohne Wert entfernen.

details_hoverHINWEIS

Bestimmte Filter sind standardmäßig aktiviert. Falls links auf der Menüschaltfläche Bedrohungen angezeigt werden, die in der Liste der Bedrohungen nicht auftauchen, überprüfen Sie die aktivierten Filter.

Ransomware-Schutz

ESET-Unternehmensprodukte (ab Version 7) enthalten den Ransomware-Schutz. Diese neue Sicherheitsfunktion ist ein Teil von HIPS und schützt Computer vor Ransomware. Wenn Ransomware auf einem Clientcomputer erkannt wird, können Sie die Ereignisdetails im Abschnitt Bedrohungen in der ESMC-Web-Konsole abrufen. Weitere Informationen zum Ransomware-Schutz finden Sie in der ESET Endpoint Security-Onlinehilfe.

Sie können den Ransomware-Schutz in der ESMC-Web-Konsole mithilfe von Policy-Einstellungen für Ihr ESET-Unternehmensprodukt remote konfigurieren.

Ransomware-Schutz - Das ESET-Unternehmensprodukt sperrt automatisch alle verdächtigen Anwendungen, die sich wie Ransomware verhalten.

Auditmodus aktivieren – Wenn Sie den Auditmodus aktivieren, werden potenzielle Bedrohungen, die vom Ransomware-Schutz erkannt werden, nicht gesperrt und werden in der ESMC-Web-Konsole gemeldet. Der Administrator kann dann entscheiden, ob die erkannte potenzielle Bedrohung blockiert werden soll, oder sie über die Option Ausnahme zu Richtlinie hinzufügen ausschließen. Diese Policy-Einstellung ist nur über die ESMC-Web-Konsole verfügbar.

validation-status-icon-warning WICHTIG

Standardmäßig blockiert der Ransomware-Schutz alle Anwendungen mit potenziellem Ransomware-Verhalten. Dies kann auch legitime Anwendungen umfassen. Wir empfehlen, die Option Auditmodus aktivieren auf einem neu verwalteten Computer über einen kurzen Zeitraum hinweg zu aktivieren, damit legitime Anwendungen, die basierend auf ihrem Verhalten als Ransomware erfasst werden (falsch positive Ergebnisse), ausgeschlossen werden können. Es empfiehlt sich nicht, den Auditmodus dauerhaft zu aktivieren, weil Ransomware dann auf den verwalteten Computern nicht automatisch blockiert wird.

Computer prüfen - Mit dieser Option wird der Task On-Demand-Prüfung auf dem Gerät ausgeführt, das die ausgewählte Bedrohung gemeldet hat.

Als „Erledigt“ markieren / Als „Nicht erledigt“ markieren – Bedrohungen können jetzt im entsprechenden Bereich oder in den Details eines Clients als „Erledigt“ markiert werden.

Erweitern Sie das Element Aktionen, um die aktuellen Aktionen auszuführen:

play_default Task ausführen – Mit dieser Option können Sie einen Task ausführen und einen Trigger für den Abschluss des Tasks erstellen.

scan_default Scan-Pfad – Diese Aktion öffnet den Task und definiert Pfade und Ziele vor. Diese Option ist nur für Bedrohungen mit bekanntem Pfad verfügbar.

Ausnahme zu Richtlinie hinzufügen – Wählen Sie eine vorhandene Endpoint-Policy aus, zu der Sie eine Ausnahme für die Bedrohung hinzufügen möchten. Die Ausnahme wird von zukünftigen Prüfungen ausgeschlossen. Sie können eine Bedrohung basierend auf den folgenden Kriterien ausschließen:

oBedrohungsname verwenden – Der Ausschluss wird basierend auf dem Namen der erkannten Bedrohung (Malware-Familie) definiert.

oURI verwenden – Der Ausschluss wird über den Pfad zur Datei definiert, z. B. file:///C:/Users/user/AppData/Local/Temp/34e1824e/ggdsfdgfd.pdf.exe.

oHash verwenden – Der Ausschluss wird basierend auf dem Hash der erkannten Datei definiert.

Sie können Bedrohungsdetails (Bedrohungsname, URI und Hash) anzeigen, indem Sie auf die Bedrohung klicken und Details anzeigen auswählen.

validation-status-icon-error WARNUNG

Verwenden Sie Ausschlüsse mit Bedacht – sie können zu einem infizierten Computer führen.

details_hoverHINWEIS

Nicht alle auf Clientgeräten gefundenen Bedrohungen werden in die Quarantäne verschoben. Die folgenden Bedrohungen werden nicht in die Quarantäne verschoben:

Bedrohungen, die nicht gelöscht werden können.

Bedrohungen, die aufgrund ihres Verhaltens als verdächtig eingestuft, jedoch nicht als Schadsoftware erkannt wurden, z. B. eventuell unerwünschte Anwendungen.

Bedrohungsdetails

Um mehr über eine Bedrohung zu erfahren, klicken Sie auf die Bedrohung in einer statischen oder dynamischen Gruppe, und klicken Sie auf Details anzeigen. In den Informationen zum Scan werden nur die Bedrohungen angezeigt, die beim jeweiligen Scan gefunden wurden. Klicken Sie auf Bedrohungen aus derselben Prüfung, um eine Liste der Bedrohungen anzuzeigen, die bei derselben Prüfung gefunden wurden wie die ausgewählte Bedrohung. Falls es sich bei der Bedrohung um eine Datei handelt, klicken Sie auf Datei an EDTD senden unter Bedrohungsdetails, um einen Client-Task zu erstellen, der die Datei zur Analyse an ESET Dynamic Threat Defense überträgt.

Computer

Klicken Sie auf eine Bedrohung. Das Untermenü Computer im Dropdownmenü enthält eine Liste der verfügbaren Aktionen für den Computer, auf dem die Bedrohung gefunden wurde. Diese Liste enthält dieselben Einträge wie die Liste im Bereich Computer.

Tabellenspalten

Klicken Sie auf das Zahnradsymbol gear_icon in der oberen rechten Ecke, wählen Sie Spalten bearbeiten aus, und wählen Sie die Spalten aus, die Sie zur Tabelle hinzufügen möchten. Wählen Sie die gewünschten Spalten über das entsprechende Kontrollkästchen aus.