Administrator Guide
Table Of Contents
- Dell Endpoint Security Suite Enterprise Schnellstarthandbuch für Advanced Threat Prevention v3.0
- Inhaltsverzeichnis
- Einleitung
- Erste Schritte
- Richtlinien
- Bedrohungen, die innerhalb der letzten 24 Stunden und insgesamt
- Getrennter Modus
- Fehlerbehebung
Bedrohungen, die innerhalb der letzten 24
Stunden und insgesamt
Dieses Kapitel erläutert die Identifizierung und Verwaltung von Bedrohungen, die nach der Installation von Advanced Threat Prevention in
einer Unternehmensumgebung auftreten können.
● Identifizieren einer Bedrohung
○ Anzeigen von Bedrohungsereignissen
○ Cylance Score und Gefahrenmodell-Aktualisierungen
○ Detaillierte Bedrohungsdaten anzeigen
● Bedrohung verwalten
○ Bedrohungsdaten in CSV-Datei exportieren
○ Globale Quarantäneliste verwalten
Identifizieren einer Bedrohung
E-Mail- und Dashboard-Benachrichtigungen
Wenn Sie E-Mail-Benachrichtigungen für Threat Protection und Advanced Threat-Ereignisse eingerichtet haben, wird ein Administrator
per E-Mail über Advanced Threat Prevention-Ereignisse und Bedrohungen benachrichtigt.
Die Dashboard-Benachrichtigungszusammenfassung in der Verwaltungskonsole zeigt Advanced Threat-Bedrohungen und Ereignisse als
die Benachrichtigungstypen „Threat Protection“ und „Advanced Threat-Ereignisse“ an.
● Threat Protection-Typ – Eine Bedrohungswarnung von Advanced Threat Prevention.
● Advanced Threat-Ereignistyp – Ein von Advanced Threat Prevention erkanntes Ereignis. Ein Ereignis ist nicht unbedingt eine
Bedrohung.
In der folgenden Tabelle sind Bedrohungsbezeichnung, Schweregrad und Bedrohungsinformationen aufgeführt.
Bezeichnung
Schweregrad Details
ThreatFound Kritisch
Zeigt an, dass eine Portable Executable (PE) auf einem Gerät
identifiziert, aber auf dem Endpunkt nicht blockiert oder anderweitig
isoliert wurde, was auf eine aktive Bedrohung im System hinweist.
ThreatBlocked Warnung
Zeigt an, dass eine Portable Executable auf dem Gerät identifiziert,
die Ausführung jedoch blockiert wurde. Diese Bedrohung wurde
nicht ausdrücklich in Quarantäne gestellt, was wahrscheinlich darauf
zurückzuführen ist, dass entweder die Richtlinie für die automatische
Quarantäne nicht aktiviert wurde oder dass sich die Datei in einem
Verzeichnis befindet, auf das wir mit dem lokalen Systemkonto nicht
schreiben konnten (Netzwerkfreigabe, USB-Gerät, das entfernt wurde
usw.).
ThreatTerminated Warnung
Zeigt an, dass eine Portable Executable (PE) auf dem Gerät erkannt
und der Prozess abgebrochen wurde, da er als aktiv ausgeführt erkannt
wurde. Dies zeigt nicht an, dass die Datei auch in Quarantäne gestellt
wurde, da die PE möglicherweise von einem anderen Speicherort aus
ausgeführt wurde. Es wird empfohlen, nach einem anderen Ereignis zu
suchen, das mit diesem Endpunkt und der ausführbaren Datei korreliert
ist, um zu überprüfen, ob die Bedrohung korrekt eingedämmt ist.
MemoryViolationBlocked Warnung
Zeigt an, dass die Ausführung einer ausführbaren Datei oder
eines Skripts fehlgeschlagen ist, aber gegen die Speicherschutz-
4
14 Bedrohungen, die innerhalb der letzten 24 Stunden und insgesamt