Gilt für: WatchGuard Advanced EPDR
Der ausführliche Modus ermöglicht es einer kleinen Zahl Computer im Netzwerk, für einen begrenzten Zeitraum erweiterte Telemetrie zu generieren. Sie können diese Informationen analysieren, um die Endpoint Security-Softwarekomponenten zu beurteilen, die in Verwendung waren, als ein Angriffsindikatoren (IOA)-Ereignis eintrat.
Sie können den ausführlichen Modus auch verwenden, um die Fähigkeiten von Sicherheitssoftware in einer Testumgebung zu beurteilen, in der Sie Angriffe auf die IT-Infrastruktur simulieren.
Weitere Informationen zu normaler und erweiterter Telemetrie finden Sie unter Computer-Telemetrie auf der Seite Untersuchung.
Bevor Sie den ausführlichen Modus auf einem Computer aktivieren, müssen Sie Folgendes sicherstellen:
- Das Workstations- und Server-Einstellungsprofil ist dem Computer zugewiesen. Weitere Informationen zu Workstations und Server-Einstellungen finden Sie unter Sicherheitseinstellungen für Workstations und Server konfigurieren.
- Der Prüfmodus ist für den Computer aktiviert. Weitere Informationen zum Aktivieren des Prüfmodus finden Sie unter Prüfmodus konfigurieren.
Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computer neu starten und reparieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.
Ausführlichen Modus aktivieren
So aktivieren Sie den ausführlichen Modus:
- Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
- Wählen Sie Computer.
- Wählen Sie im linken Fenster die Registerkarte Meine Organisation.
-
Klicken Sie neben dem Computer, für den Sie den ausführlichen Modus aktivieren wollen, auf
. - Wählen Sie Ausführlicher Modus.
Das Dialogfeld Ausführlicher Modus aktivieren wird geöffnet. -
Wählen Sie auf der Dropdown-Liste Dauer eingeben die Dauer des ausführlichen Modus aus.
Sie können den ausführlichen Modus für 1 Stunde, 24 Stunden, 3 Tage oder 7 Tage aktivieren. -
Klicken Sie auf Ausführlichen Modus aktivieren.
Der ausführliche Modus wird aktiviert und das Symbol
wird neben dem Computer in der Liste angezeigt.
Sie können den ausführlichen Modus höchstens für 20 Computer gleichzeitig aktivieren. Sie können den ausführlichen Modus für einen Computer höchstens für eine Dauer von sieben Tagen aktivieren.
Ausführlichen Modus deaktivieren
So deaktivieren Sie den ausführlichen Modus:
- Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
- Wählen Sie Computer.
- Wählen Sie im linken Fenster die Registerkarte Meine Organisation.
-
Klicken Sie neben dem Computer, für den Sie den ausführlichen Modus deaktivieren wollen, auf .
- Wählen Sie Ausführlichen Modus deaktivieren.
Der ausführliche Modus wird deaktiviert und das Symbol wird nicht mehr angezeigt.
Filter für ausführlichen Modus erstellen
Auf der Registerkarte Filter der Seite Computer können Sie eine Gruppe erstellen, um die Computer und Geräte anzuzeigen, die in Ihrem Netzwerk den ausführlichen Modus aktiviert haben.
- Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
- Wählen Sie Computer.
- Wählen Sie im linken Fenster
Filter. - Klicken Sie neben dem Ordner, zu dem Sie einen Filter hinzufügen wollen.
- Wählen Sie Filter hinzufügen.
Die Seite Filter hinzufügen wird geöffnet.
- Geben Sie im Textfeld Name einen Namen für den Filter ein.
Der Name muss nicht einmalig sein. -
Wählen Sie auf der Dropdown-Liste Kategorie auswählen die Option Computer.
-
Wählen Sie auf der Dropdown-Liste Wählen Sie eine Eigenschaft aus die Option Ausführlicher Modus.
-
Wählen Sie auf der Dropdown-Liste Wählen Sie einen Betreiber aus die Option Ist gleich.
-
Wählen Sie auf der Dropdown-Liste Wählen Sie einen Wert aus die Option Wahr.
- Klicken Sie auf Hinzufügen.
Der neue Filter erscheint auf der Filter-Registerkarte.