WatchGuard Advanced EPDR Sicherheits-Dashboard

Gilt für: WatchGuard Advanced EPDR

Das WatchGuard Advanced EPDR Sicherheits-Dashboard zeigt eine Übersicht des Sicherheitsstatus des Netzwerks für einen spezifischen Zeitraum. Mehrere Kacheln zeigen wichtige Informationen und bieten Links zu mehr Details.

Screen shot of the WatchGuard Advanced EPDR Security dashboard

Zeitraumwähler

Das Dashboard zeigt die Informationen für den Zeitraum an, den Sie aus der Dropdown-Liste oben auf der Status-Seite ausgewählt haben.

Screen shot of the Time Selector drop-down list

Sie können diese Zeiträume auswählen:

  • Letzte 24 Stunden
  • Letzte 7 Tage
  • Letzter Monat
  • Letztes Jahr

Einige Kacheln zeigen keine Informationen für das letzte Jahr. Falls für eine spezifische Kachel keine Informationen aus dem letzten Jahr verfügbar sind, wird eine Benachrichtigung angezeigt.

Das Sicherheits-Dashboard beinhaltet folgende Kacheln:

Klicken Sie auf eine Kachel, um detaillierte Informationen anzuzeigen.

Status-Symbole

Die Symbole in den Spalten Erweiterter Schutz, Virenschutz, Schutz aktualisiert und Wissen zeigen deren Status an:

  • Das Installations-Symbol — Wird installiert
  • Das Aktiviert-Symbol — Aktiviert
  • Das Deaktiviert-Symbol — Deaktiviert
  • Das Fehler-Symbol — Fehler
  • Das Keine Lizenz-Symbol — Keine Lizenz
  • Das Nicht verfügbar-Symbol — Nicht verfügbar
  • Das Neustart ausstehend-Symbol — Neustart Ausstehend

Schutzstatus

Die Kachel Schutzstatus zeigt:

  • Computer, auf denen WatchGuard Advanced EPDR richtig funktioniert und auf denen es nicht richtig funktioniert.
  • Computer mit Installationsfehlern oder -problemen.
  • Computer mit Prüfmodus aktiviert.

Screen shot of the Protection Status tile

Die Gesamtzahl der Computer und Geräte in der Mitte der Kachel beinhaltet iOS-Geräte. Die Kachel beinhaltet keine weiteren Informationen über iOS-Geräte. iOS-Geräte haben keinen erweiterten oder Virenschutz. Weitere Informationen finden Sie unter iOS-Geräteeinstellungen konfigurieren.

Klicken Sie auf die Kachel, um die Liste Computer-Schutzstatus zu öffnen.

Screen shot of the Computer Protection Status list

Nicht alle Spalten sind für jeden Gerätetyp verfügbar.

Filtern der Liste Computerschutzstatus:

  1. Klicken Sie auf Filter.
  2. Wählen Sie den Computertyp.
  3. Geben Sie Plattform, Verbindung und Schutzparameter an.
  4. Wählen Sie den Schutzstatus.
  5. Wählen Sie den Isolationsstatus.
  6. Klicken Sie auf Filter.

Offline-Computer

Die Kachel Offline-Computer zeigt die Anzahl der Computer, die sich eine Reihe von Tagen nicht mit der Cloud verbunden haben.

Screen shot of the Offline Computers tile

Klicken Sie auf die Kachel, um Details der Computer zu sehen, die eventuell anfällig für Sicherheitsprobleme sind und Aufmerksamkeit erfordern.

Screen shot of the Offline Computers list

Weitere Informationen zu den in dieser Liste verwendeten Symbolen finden Sie unter Symbole.

Veralteter Schutz

Die Kachel Veralteter Schutz zeigt die Anzahl der Computer mit einer Signaturdatei, die mehr als drei Tage älter als die neuste veröffentlichte Datei ist. Die Kachel zeigt auch die Anzahl Computer mit einer Virenschutz-Engine, die mehr als sieben Tage älter als die aktuelle Engine ist.

  • Schutz — Der Computer hat seit mindestens sieben Tagen eine Version der Virenschutz-Engine, die älter als die aktuelle Engine ist.
  • Wissen — Der Computer hat seine Signaturdatei seit mindestens drei Tagen nicht aktualisiert.
  • Neustart Ausstehend — Der Computer benötigt einen Neustart, um das Update fertigzustellen.

Screen shot of the Outdated Protection tile

Klicken Sie auf die Fortschrittsleiste in der Kachel, um eine Liste der mit den unterschiedlichen Status assoziierten Computer anzuzeigen:

  • Computer mit veraltetem Schutz
  • Computer mit veraltetem Wissen
  • Computer mit ausstehendem Neustart

Vom Administrator erkannte Elemente

Die Kachel Vom Administrator erkannte Elemente zeigt die Anzahl der Programme, die der Administrator zulässt, obwohl WatchGuard Advanced EPDR ihre Ausführung ursprünglich verhindert hat. WatchGuard Advanced EPDR hatte diese Programme als Bedrohung (Malware, PUP oder Exploit) oder als unbekannte Dateien, die gerade klassifiziert werden, klassifiziert.

Screen shot of the Detected Items Allowed by the Administrator tile

Klicken Sie auf die Kachel, um bestimmte Informationen in einer Liste anzuzeigen.

Screen shot of the Detected Items Allowed by the Administrator list

Klicken Sie auf Verlauf, um alle Ereignisse in Bezug auf Bedrohungen und unbekannte Dateien, die gerade klassifiziert werden, deren Ausführung der Administrator zugelassen hat, zu sehen.

Durch Administrator blockierte Programme

Die Kachel Durch Administrator blockierte Programme zeigt die Anzahl der vom Administrator blockierten Programme auf den Computern im Netzwerk.

Screen shot of the Programs Blocked by the Administrator tile

Klicken Sie auf die Kachel, um bestimmte Informationen in einer Liste anzuzeigen.

Screen shot of the Programs Blocked by the Administrator detail page

Klassifikation aller ausgeführten und gescannten Programme

Diese Kachel zeigt die Vorgänge und Programme, die in Ihrer Organisation im ausgewählten Zeitraum ausgeführt wurden und ihre Klassifizierung (beispielsweise vertrauenswürdige Programme oder Malware).

Die Daten in dieser Kachel betreffen das gesamte IT-Netzwerk, nicht nur Computer, für die der Administrator Berechtigungen hat.

Programme, die gerade klassifiziert werden, werden in der Kachel angezeigt, nachdem WatchGuard Advanced EPDR sie klassifiziert hat.

Screen shot of the Classification of all Programs Run and Scan tile

Programmklassifizierung

  • Vertrauenswürdige Programme — Im ausgewählten Zeitraum ausgeführte Programm, die WatchGuard Advanced EPDR als vertrauenswürdig klassifiziert hat.
  • Malware — Programme, von denen versucht wurde, sie im ausgewählten Zeitraum auszuführen, und die WatchGuard Advanced EPDR als Malware, Zero-day-Bedrohungen oder gezielte Angriffe klassifiziert hat.
  • Exploits — Exploit-Angriffe, die vertrauenswürdige Programme auf Computern kompromittiert oder zu kompromittieren versucht haben.
  • PUPs (potenziell unerwünschte Programme) — Programme, von denen versucht wurde, sie im ausgewählten Zeitraum auszuführen, und die von WatchGuard Advanced EPDR als PUPs klassifiziert wurden.

Erkennungen nach erweiterten Sicherheitsrichtlinien

Diese Kachel zeigt die Gesamtzahl blockierter, verdächtiger Skripte sowie unbekannter Programme, die erweiterte Infektionstechniken verwendet haben.

Screen shot of Detections by Advanced Security Policies tile

Für jeden Computer wird eine Erkennung nur einmal alle 24 Stunden aufgezeichnet. Klicken Sie auf die Kachel, um eine Liste der durch erweiterte Sicherheitsregeln blockierten Elemente zu öffnen. Wenn Sie ein Element in der Liste auswählen, öffnet sich die Seite Blockiert durch erweiterte Sicherheitsregeln. Weitere Informationen finden Sie unter Erkennungen nach erweiterten Sicherheitsrichtlinien-Details.

Erweiterte Sicherheitsrichtlinien

  • PowerShell mit verdächtigen Parametern — die Anzahl der Male, die der PowerShell Interpreter verdächtige Parameter erhalten hat, die zur Ausführung gefährlicher Vorgänge auf dem geschützten Computer führen könnten.
  • Vom Benutzer ausgeführtes PowerShell — Anzahl der Versuche, ein überwachtes PowerShell Skript auf einem interaktiven Konto auszuführen, das zum Ausführen gefährlicher Vorgänge auf dem geschützten Computer in der Lage ist.
  • Unbekanntes Skript — Anzahl der Versuche, ein Skript auszuführen, das vom WatchGuard Sicherheitsteam noch nicht klassifiziert wurde.
  • Lokal kompiliertes Programm — Anzahl der Versuche, ein Programm auszuführen, das dem WatchGuard Sicherheitsteam unbekannt ist, da es auf dem Computer des Benutzers kompiliert wurde.
  • Dokument mit Makros — Anzahl der Versuche, ein Office-Dokument mit Makros zu öffnen.
  • Bei Windows-Start auszuführende Registry-Änderung — Anzahl der Male, die ein Programm versucht hat, einen Windows Registrierungsschlüssel hinzuzufügen, um dauerhaft auf dem Computer zu verbleiben und bei jedem Systemneustart zusammen mit dem Betriebssystem wieder hochzufahren.
  • Programmblockierung durch MD5-Wert — Anzahl der Male, die ein Programm blockiert wurde, da es in der vom Administrator festgelegten MD5-Blockliste enthalten war.
  • Programmblockierung durch Name — Anzahl der Male, die ein Programm blockiert wurde, da es in der vom Administrator festgelegten Namen-Blockliste enthalten war.

Malware-Aktivität, PUP-Aktivität und Exploit-Aktivität

Diese Kacheln zeigen Vorfälle, die in von den Workstations und Servern im Netzwerk ausgeführten Programme sowie deren Dateisysteme erkannt wurden. Vorfälle werden von Echtzeit-Scans sowie Scan-Aufgaben bei Bedarf gemeldet.

WatchGuard Advanced EPDR zeigt einen Vorfall in den Kacheln Malware-Aktivität und PUP-Aktivität für jedes Computer- oder Bedrohungs-Paar, das im Netzwerk gefunden wurde. Wenn ein Vorfall innerhalb von fünf Minuten mehrmals auftritt, registriert WatchGuard Advanced EPDR nur den ersten Vorfall. Derselbe Vorfall kann innerhalb von 24 Stunden höchstens zweimal registriert werden.

Screen shot of the Malware Activity and PUP Activity tiles

  • Ausgeführt zeigt die Anzahl der Malwares, die erfolgreich im Netzwerk ausgeführt wurde.
  • Mit Datenzugriff zeigt die Anzahl Male, die die Bedrohung auf Benutzerinformationen auf der Festplatte des Computers zugegriffen hat.
  • Externe Verbindungen zeigt die Anzahl der Male, bei denen es Verbindungen zu anderen Computern gab.

  • Die Bedrohungen, die von Computern im Netzwerk kopiert wurden, zeigen die IP-Adresse des Computers, von dem eine Infektion ausging, sowie die Anzahl der Male, die diese IP-Adresse Quelle der Erkennung war (in Klammern). Um die entsprechende Liste zu öffnen, klicken Sie auf die IP-Adresse.

  • Um die Liste Malware-Aktivität oder PUP-Aktivität mit den betroffenen Computern und den Malware- oder PUP-Vorfällen anzuzeigen, klicken Sie auf die Kachel.

Befindet sich ein Computer im Prüfmodus und der Benutzer lässt einen Vorfall mit blockierter Malware zu, wird diese Aktion in der Liste Malware-Aktivität als Zugelassen (Prüfmodus) angezeigt. Um einen blockierten Vorfall zuzulassen, klicken Sie auf die Kachel Malware-Aktivität und wählen Sie den betroffenen Computer aus der Liste. Neben Aktion klicken Sie auf und im Pop-up, das sich öffnet, klicken Sie Nicht erneut erkennen.

Exploit-Aktivität

Die Kachel Exploit-Aktivität zeigt die Anzahl der Exploit-Schwachstellenangriffe gegen Windows-Computer im Netzwerk an. WatchGuard Advanced EPDR meldet einen Vorfall in der Kachel Exploit-Aktivität für jeden Computer oder anderen Exploit-Angriffspaar, die auf dem Netzwerk gefunden werden. Wenn ein Angriff mehrmals stattfindet, meldet WatchGuard Advanced EPDR höchstens 10 Vorfälle je 24 Stunden für jedes gefundene Computer-Exploit-Paar.

Screen shot of the Exploit Activity tile

Klicken Sie auf die Kachel, um die Liste Exploit-Aktivität mit den betroffenen Computern und den Exploit-Vorfällen anzuzeigen.

Netzwerkangriffsaktivität

Die Kachel Netzwerkangriffsaktivität zeigt die Anzahl an versuchten Netzwerkangriffen auf Windows-Computer im Netzwerk. WatchGuard Advanced EPDR erstellt jede Stunde einen einzelnen Vorfall für alle Netzwerkangriffe des gleichen Typs und mit der gleichen Quell-IP-Adresse.

Screen shot of WatchGuard Endpoint Security, Network Attack Activity tile on Security dashboard

Um die Liste Netzwerkangriffsaktivität mit den betroffenen Computern und Netzwerkangriffsvorfällen anzuzeigen, klicken Sie auf die Kachel.

Derzeit blockierte Programme werden klassifiziert

Die Kachel Derzeit blockierte Programme werden klassifiziert zeigt die Anzahl der Programme, die WatchGuard Advanced EPDR derzeit blockiert.

Screen shot of the Currently Blocked Programs Being Classified tile

Blockierte Anwendungen haben eine der folgenden Farben:

  • Orange — Anwendungen mit einer mittleren Wahrscheinlichkeit, Malware zu sein.
  • Dunkel-Orange — Anwendungen mit einer hohen Wahrscheinlichkeit, Malware zu sein.
  • Rot — Anwendungen mit einer sehr hohen Wahrscheinlichkeit, Malware zu sein.

Die Bedrohungen, die von Computern im Netzwerk kopiert wurden, zeigen die IP-Adresse des Computers, von dem eine Infektion ausging, sowie die Anzahl der Male, die diese IP-Adresse Quelle der Erkennung war (in Klammern). Um die entsprechende Liste zu öffnen, klicken Sie auf die IP-Adresse.

Klicken Sie auf die Kachel, um eine Liste der Dateien zu sehen, von denen WatchGuard Advanced EPDR vor der Klassifizierung entschieden hat, dass sie riskant sind. Um ein Programm aus der Liste zu entfernen, wählen Sie aus dem Optionen-Menü für einen Computer Aus Liste löschen.

Screen shot of the Currently Blocked Programs Being Classified details

WatchGuard Endpoint Security betrachtet gelöschte Elemente weiterhin als unbekannt. Falls sie eine erneute Ausführung versuchen, erscheinen sie erneut in der Liste Derzeit blockierte Programme werden klassifiziert.

Vom Virenschutz erkannte Bedrohungen

Diese Kachel zeigt alle Intrusion-Versuche, die WatchGuard Advanced EPDR im ausgewählten Zeitraum erkannt hat. Die Daten decken alle Infektionsvektoren und alle unterstützten Plattformen ab. Administratoren können spezifische Daten (Volumen, Typ, Form des Angriffs) in Bezug auf die Malware erhalten.

Screen shot of the Threats Detected by Antivirus tile

Klicken Sie auf die Kachel, um detaillierte Informationen über erkannte Bedrohungen anzuzeigen.

Screen shot of the Threats Detected by the Antivirus detail page

Related Topics

Über Meine Listen in WatchGuard Endpoint Security

Webzugriff-Dashboard

Risiken-Dashboard

Liste Gefundene nicht verwaltete Computer

Schutz vor Netzwerkangriffen — Erkannte Angriffstypen