Dateiklassifizierung und -umklassifizierung

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

Wenn eine bekannte Datei als Malware, PUP oder Exploit klassifiziert ist und der Betriebsmodus Hardening oder Lock ist, dann blockiert Endpoint Security die Datei, es sei denn, der Administrator lässt deren Ausführung zu.

Informationen zu den Modi Hardening und Lock in den Einstellungen für den erweiterten Schutz finden Sie unter Erweiterter Schutz – Betriebsmodi (nur Windows-Computer).

Aktionsdiagramm für die Klassifizierung bekannter Dateien und Prozesse

Wenn eine unbekannte Datei sich im Prozess der Klassifizierung befindet und der Betriebsmodus Hardening oder Lock ist, dann geht Endpoint Security wie folgt vor:

• Blockiert die Datei, wenn Sie das Entblocken von Dateien nicht konfiguriert haben.
  • Lässt die Ausführung der Datei zu, wenn nach der Klassifizierung festgestellt wird, dass es sich um Goodware handelt.
  • Verhindert die Ausführung der Datei, wenn die Datei nach der Klassifizierung als Malware eingestuft ist.
• Lässt die Ausführung der Datei während der Durchführung des Klassifizierungsprozesses zu, wenn Sie das Entsperren von Dateien konfiguriert haben. Nach Abschluss der Klassifizierung des Prozesses:
  • Wenn es sich bei der Datei um Goodware handelt, lässt Endpoint Security die Ausführung der Datei weiter zu.
  • Wenn es sich bei der Datei um Malware handelt, lässt Endpoint Security in Abhängigkeit von der Umklassifizierungsregel die Ausführung der Datei zu bzw. nicht zu.

Aktionsdiagramm für die Klassifizierung unbekannter Dateien und Prozesse

Dateiumklassifizierung

Wenn Sie ein unbekanntes Element entblocken, das zuvor von Endpoint Security blockiert war, dann klassifiziert der Klassifikationsprozess das Element nach einiger Zeit als Malware oder Goodware.

• Wenn es als Goodware klassifiziert wird, dann sind keine weiteren Schritte nötig, damit das Element weiter ausgeführt werden kann.
• Wenn es als Malware klassifiziert wird, dann wird die Umklassifizierungsregel angewendet. Mit der Umklassifizierungsregel können Sie festlegen, wie Endpoint Security dieses Element behandelt.

Ändern der Umklassifizierungsregel

Die Umklassifizierungsregel definiert, welche Aktionen Endpoint Security ergreift, wenn ein Element, das vom Administrator entsperrt wurde, umklassifiziert wird. Die Umklassifizierungsregel gilt für alle Geräte im Netzwerk. Die zugewiesenen Sicherheitseinstellungsprofile haben keine Auswirkung auf die Umklassifizierungsregel.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Bedrohungen vorübergehend ausschließen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So ändern Sie die Aktionen, die Endpoint Security ergreift, wenn eine Datei umklassifiziert wird.

1. Wählen Sie Status > Sicherheit.
2. Wählen Sie auf der Kachel Vom Administrator zugelassene Programme den Elementtyp:
   • Malware
   • PUPs
   • Wird klassifiziert
   • Exploits
3. Klicken Sie im Dialogfeld Vom Administrator zugelassene Programme auf Verhalten ändern.
   

4. Wählen Sie die Aktion, Sie anwenden möchten:

• Von der Liste Vom Administrator zugelassene Programme entfernen — Wenn es sich bei der unbekannten Datei um Goodware handelt, wird sie weiter normal ausgeführt. Wenn es sich um Malware handelt, wird die Ausnahme automatisch entfernt und die Datei ist gesperrt, es sei denn, der Administrator erstellt eine Ausnahme für die Datei.
• Auf der Liste Vom Administrator zugelassene Programme lassen — Eine rote Warnung auf der Liste Vom Administrator zugelassene Programme zeigt an, dass diese Option zu einer potenziellen Gefährdung führen könnte. Unabhängig davon, ob die unbekannte Datei als Goodware oder Malware klassifiziert wird, wird die Ausnahme beibehalten und die Datei wird weiter ausgeführt.

Wir empfehlen Ihnen, die Einstellung Auf der Liste Vom Administrator zugelassene Programme lassen nicht zu nutzen, da dies eine Sicherheitslücke schaffen könnte, die es Malware erlaubt, auf Netzwerkgeräten zu laufen.

Umklassifizierung entblockter Dateien

Wenn Sie für ein Element Auf der Liste Vom Administrator zugelassene Programme lassen ausgewählt haben, dann sollten Sie Warnungen dafür aktivieren und den Verlauf der zugelassenen Programme überprüfen. Sie können jedes Mal, wenn eine unbekannte Datei blockiert wird, eine E-Mail-Warnung erhalten. Es wird empfohlen, eine Warnung für den Fall zu konfigurieren, dass eine zuvor entblockte Datei umklassifiziert wird.

So aktivieren Sie E-Mail-Benachrichtigungen, wenn eine unbekannte Datei blockiert wird:

1. Wählen Sie Einstellungen > Meine Warnungen.
2. Aktivieren Sie die Schalter für die folgenden Warnmeldungstypen:
   • Ein Programm, das gerade klassifiziert wird, wird blockiert
   • Eine durch den Administrator zugelassene Datei ist endgültig klassifiziert

Weitere Informationen zu Testversionen finden Sie unter E-Mail-Warnmeldungen konfigurieren.

Liste Verlauf von blockierten Programmen

Wenn Endpoint Security ein Programm blockiert, das dann als Goodware neu klassifiziert wird, dann wird das Programm nicht mehr als blockiert angezeigt. Sie können das umklassifizierte Programm in der Liste Verlauf von blockierten Programme sehen.

Die Liste Verlauf von blockierten Programmen beinhaltet die folgenden Informationen:

Computer

Name des Computers, auf dem das Programm oder Element blockiert wurde.

Pfad

Dateipfad und -name der blockierten Datei auf dem Computer.

Aktion

Die letzte Aktion, die Endpoint Security ergriffen hat (beispielsweise Blockiert, Neu als Goodware klassifiziert und Malware aufgrund von Verbindungsfehler blockiert).

Zeit für Umklassifizierung

Die für die neue Klassifizierung von Blockiert zu Goodware erforderliche Zeit in Stunden, Minuten und Sekunden, bis zu 4 Stunden. Wenn die erforderliche Zeit 4 Stunden übersteigt, dann ist der Wert Mehr als 4 Stunden.

Datenzugriff

Falls die blockierte Datei auf Datendateien zugegriffen hat, dann ist der Kreis in dieser Spalte rot. Wenn der Kreis leer ist, dann wurde auf keine Datendateien zugegriffen.

Externe Verbindungen

Wenn die blockierte Datei externe Verbindungen hergestellt und Daten mit anderen Computern ausgetauscht hat, dann ist der Kreis in dieser Spalte rot. Wenn der Kreis leer ist, dann wurden keine externen Verbindungen hergestellt.

Schutzmodus

Betriebsmodus für erweiterten Schutz, wenn die Datei blockiert war (beispielsweise Audit, Lock oder Hardening).

Excluded (Ausgenommen)

Gibt an, ob der Administrator die blockierte Datei vom erweiterten Schutz ausgenommen hat (Ja oder Nein).

Wahrscheinlichkeit einer Schädlichkeit

Gibt an, ob die blockierte Datei bösartig sein könnte (beispielsweise Sehr hoch, Hoch, Mittel oder Niedrig).

Datum

Das Datum, an dem Endpoint Security das Programm blockiert hat.

Umklassifizierungszeit für unbekannte Dateien

Die Zeit, die Endpoint Security benötigt, um eine Datei zu entsperren und dann als Goodware neu zu klassifizieren, wird im Feld Umklassifizierungszeit der Seite Blockiertes Programm – Details angezeigt. Die Startzeit der Umklassifizierung ist der frühere der Zeitpunkte, an denen die blockierte Datei von den WatchGuard Cloud-Servern erhalten wurde bzw. als die Datei auf dem Benutzergerät blockiert wurde.

So zeigen Sie die Umklassifizierungszeit und andere Informationen für eine entblockte Datei vom Dashboard Sicherheit aus an:

1. Klicken Sie auf Derzeit blockierte Programme werden klassifiziert.

2. Klicken Sie oben rechts auf Verlauf von blockierten Elementen anzeigen.
   Die Liste Verlauf von blockierten Programmen wird geöffnet. Die Spalte Aktion zeigt die Ereignisse, die aufgetreten sind.
3. Um Blockiertes Programm - Details für das Programm zu öffnen, wählen Sie eine Zeile aus.
   Die Seite Blockiertes Programm – Details zeigt die Umklassifizierungszeit sowie die Klassifizierungstechnik (automatisch oder manuell) sowie Datum und Uhrzeit, als Endpoint Security die Umklassifizierung abgeschlossen hat. Um Startdatum und -zeit der Umlassifizierung zu sehen, klicken Sie auf .

Falls Endpoint Security ein Element blockiert hat, das nicht als Goodware neu klassifiziert wurde, dann können Sie dessen Ausführung zulassen. Weitere Informationen finden Sie unter Ausführen blockierter Elemente zulassen.

Ähnliche Themen

E-Mail-Warnmeldungen konfigurieren

Dateiklassifikation — Strategie für neue Software

Bedrohungen in WatchGuard Endpoint Security überwachen