Dateiklassifikation — Strategie für neue Software

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

Wenn Sie die Installation von Programmen auf Netzwerkgeräten überwachen, möchten Sie eventuell zulassen, dass unbekannte Software ausgeführt wird, ohne dass sich das Sicherheitsrisiko erhöht. Dieses Thema beschreibt eine Strategie für eine stufenweise Installation neuer, blockierter Software.

Schritt 1. Konfigurieren eines Test-Computers

Ermitteln Sie mit einem Test-Computer, ob die neue Software bekannte Malware oder WatchGuard Endpoint Security unbekannt ist. Stellen Sie sicher, dass auf dem Test-Computer Endpoint Security installiert und der erweiterte Schutz im Hardening-Modus konfiguriert ist.

Informationen über den Hardening-Modus finden Sie unter Erweiterter Schutz – Betriebsmodi (nur Windows-Computer).

Schritt 2. Installieren der neuen Software

Installieren Sie die neue Software auf dem Test-Computer und öffnen Sie sie normal.

Wenn Endpoint Security feststellt, dass die Software ein unbekanntes Modul oder Programm beinhaltet, dann blockiert es die Software. Es wird ein Dialogfeld geöffnet, das anzeigt, dass die Software blockiert wurde, und ein neues Element wird zur Liste Derzeit blockierte Programme werden klassifiziert hinzugefügt. Endpoint Security sendet die binären Dateien zur Analyse an die Cloud.

Wenn im Hardening-Modus keine Elemente blockiert sind, ändern Sie die Einstellungen für den erweiterten Schutz zum Lock-Modus. Öffnen Sie die neue Software erneut. Wenn weitere Elemente blockiert sind, dann werden sie auf der Liste Derzeit blockierte Programme werden klassifiziert angezeigt.

Schritt 3. Neuklassifizieren blockierter Software

Wenn Endpoint Security die blockierte Software neu klassifiziert, dann können Sie E-Mail-Warnungen mit Informationen dazu, ob die Software entsperrt wurde oder weiter blockiert ist, aktivieren. Informationen zu Warnungen und die Regel zur Neuklassifizierung finden Sie unter Dateiklassifizierung und -umklassifizierung.

Wenn alle Prozesse als Goodware klassifiziert wurden, dann ist die installierte Software für die Nutzung im gesamten Netzwerk gültig.

Schritt 4. Senden der blockierten Software an WatchGuard Support

Wenn eine Datei unbekannt ist, dann sendet Endpoint Security die binären Dateien zur Analyse an die Cloud. Endpoint Security ist so gestaltet, dass es Probleme bei der Netzwerkleistung verhindert, und könnte daher das Senden der Dateien an die Cloud verzögern.

Um den Klassifizierungsprozess zu beschleunigen, wenden Sie sich an den WatchGuard Support. Ein Malware-Experte von WatchGuard kann eine Stichprobe des Prozesses manuell analysieren.

Ähnliche Themen

Dateiklassifizierung und -umklassifizierung

Ausführen blockierter Elemente zulassen