IOC-Suchaufgaben erstellen

Gilt für: WatchGuard Advanced EPDR

Erstellen Sie eine Aufgabe, um die Computer und Geräte in Ihrem Netzwerk auf genehmigte IOCs zu durchsuchen.

Wenn Sie IOCs in WatchGuard Advanced EPDR importieren, müssen Sie diese in der Galerie der Kompromittierungsindikatoren manuell genehmigen, bevor Sie eine Suchaufgabe erstellen können. Weitere Informationen finden Sie unter IOCs verwalten.

Priorität der Aufgaben

Wenn WatchGuard Advanced EPDR eine IOC-Suchaufgabe auf dem Computer eines Benutzer ausführt, kann es sein, dass bereits Aufgaben ausgeführt werden. Die IOC-Suchaufgabe wird gemäß dem in dieser Tabelle beschriebenen Verhalten ausgeführt.

Aufgabe in Bearbeitung Verhalten der Suchaufgabe

IOC-Erkennung

Wartet bis zum Abschluss der IOC-Erkennungsaufgabe führt dann die neue Suchaufgabe aus.

Patch-Installation

Wird gleichzeitig zur Patch-Installationsaufgabe ausgeführt. Die Patch-Installationsaufgabe wird nicht unterbrochen, da dies ein Risiko für die Systemintegrität darstellen könnte.

Scan oder Desinfektion

Die Aufgabe Scan oder Desinfektion wird abgebrochen und die IOC-Suchaufgabe wird ausgeführt.

Data Control-Suche

Wird ausgeführt und bricht die Data Control-Aufgabe nicht ab oder stoppt sie.

Data Control-Indizierung

Wird ausgeführt und hält die Data Control-Aufgabe vorübergehend an.

IOC-Suchaufgaben auf Computern von Benutzern werden in folgenden Fällen automatisch abgebrochen und neu gestartet (falls möglich):

  • Der Administrator fordert einen Neustart des Computers in der Verwaltungsoberfläche an.

  • Der Client-Benutzer fordert einen Neustart des Computers lokal auf dem Computer an.

  • Der Computer startet automatisch neu, um Komponenten der installierten Schutzsoftware zu aktualisieren.

Wenn WatchGuard Advanced EPDR eine Aufgabe startet und bereits eine IOC-Suchaufgabe läuft, wird die neue Aufgabe gemäß dem in dieser Tabelle beschriebenen Verhalten ausgeführt.

Neue Aufgabe Verhalten der Aufgabe
Erkennung von IOCs Wartet bis zum Abschluss der Suchaufgabe und führt dann die neue Aufgabe aus.

Patch-Installation

Ausführung der Aufgabe wird gestartet, während die IOC-Suchaufgabe ausgeführt wird.

Scan oder Desinfektion

Aufgabe wird erst gestartet, wenn die IOC-Suchaufgabe fertiggestellt ist.

Data Control-Suche

Ausführung der Aufgabe wird gestartet, während die IOC-Suchaufgabe ausgeführt wird.

Data Control-Indizierung

Aufgabe wird erst gestartet, wenn die IOC-Suchaufgabe fertiggestellt ist.

Falls Sie die IOC-Suchaufgabe in der Verwaltungsoberfläche manuell stoppen, geschieht Folgendes:

  • Die IOC-Suche stoppt sobald wie möglich auf dem Zielcomputer.

  • Die Erkennungsergebnisse bis zum Zeitpunkt des Abbruchs werden aufgezeichnet.

IOC-Suchaufgaben erstellen

Sie können eine IOC-Suchaufgabe in der Galerie der Kompromittierungsindikatoren oder auf der Seite Aufgaben erstellen. Informationen zur Galerie der Kompromittierungsindikatoren finden Sie unter Über die Galerie der Kompromittierungsindikatoren.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Nach Kompromittierungsindikatoren suchen und verwalten haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So erstellen Sie eine IOC-Suchaufgabe auf der Seite Aufgaben:

  1. Wählen Sie in WatchGuard Cloud Überwachen > Endpoints.
  2. Wählen Sie Aufgaben.
  3. Klicken Sie auf Aufgabe hinzufügen > Nach Kompromittierungsindikatoren suchen.
    Das Dialogfeld Neue Aufgabe wird geöffnet.

Screen shot of New Task window

  1. Geben Sie im Textfeld Name einen Namen für die Aufgabe ein.
  2. Geben Sie im Textfeld Beschreibung eine Beschreibung der Aufgabe ein.
  3. Wählen Sie den Startzeitpunkt für den Scan.
    • Um die Aufgabe So schnell wie möglich innerhalb des gewählten Zeitraums zu starten, aktivieren Sie das entsprechende Kontrollkästchen. Der Computer muss eingeschaltet und aus der Cloud zugänglich sein.
    • Um die Aufgabe zu einer spezifischen Zeit zu starten, wählen Sie Datum und Uhrzeit.
    • Um die Zeit auf Basis der Zeit auf dem Computer festzulegen, aktivieren Sie das Kontrollkästchen Lokale Zeit des Computers.
      Wenn Sie dieses Kontrollkästchen nicht aktivieren, basiert die Uhrzeit auf der Zeit des WatchGuard Cloud-Servers.
    • Ist der Computer ausgeschaltet oder hat keinen Zugang, wird die Aufgabe nicht ausgeführt. Sie können die Ablaufzeit der Aufgabe vorgeben, von 0 (die Zeit für die Aufgabe läuft sofort ab, falls der Computer nicht verfügbar ist) bis unendlich (die Aufgabe ist dauerhaft aktiv und wartet unendlich auf die Verfügbarkeit des Computers).
  4. Wählen Sie aus der Dropdown-Liste Maximale Ausführungszeit, wie lange Sie die Aufgabe beibehalten wollen, falls der Computer ausgeschaltet ist oder zur gewählten Zeit nicht mit WatchGuard Cloud verbunden ist.
  5. Im Textfeld Auf folgende Kompromittierungsindikatoren prüfen, klicken Sie auf +.
    Das Dialogfeld Kompromittierungsindikatoren hinzufügen wird geöffnet.

Screen shot of Add IOCs dialog box

  1. Wählen Sie die IOCs, nach denen Sie suchen wollen.
    Die Liste zeigt alle in der Galerie der Kompromittierungsindikatoren eingetragenen IOCs an. Ist die Liste lang, können Sie im Suchfeld nach einem IOC suchen.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie oben rechts auf Speichern.
  4. Auf der Seite Aufgaben wählen Sie die Aufgabe.
  5. Um Computer und Geräte hinzuzufügen, klicken Sie im Textfeld Empfänger auf Noch keine Empfänger ausgewählt.
    Die Seite Empfänger wird geöffnet.
  6. Um Computergruppen hinzuzufügen, klicken Sie oberhalb des Textfelds auf The Add icon..
    Das Dialogfeld Gruppe hinzufügen wird geöffnet.
    1. Wählen Sie die Computergruppen, nach denen Sie suchen wollen.
    2. Klicken Sie auf Hinzufügen.
      Die gewählten Gruppen werden im Feld angezeigt. Klicken Sie auf Das Löschen-Symbol., um diese zu entfernen.
  7. Um die Aufgabe nur auf einem bestimmten Typ Computer auszuführen, aktivieren Sie die Kontrollkästchen für die Gerätearten, die Sie einschließen wollen (zum Beispiel Workstation, Laptop, Server, Mobiles Gerät).
    Der Computer- oder Gerätetyp, der eine Aufgabe empfangen kann, richtet sich nach der auszuführenden Aufgabe.
  8. Um zusätzliche Computer und Geräte hinzuzufügen, klicken Sie oberhalb des Textfelds auf The Add icon..
    Das Dialogfeld Computer hinzufügen wird geöffnet.
    1. Wählen Sie die jeweiligen Computer, nach denen Sie suchen wollen.
    2. Klicken Sie auf Hinzufügen.
      Die gewählten Computer und Geräte werden in der Liste angezeigt. Klicken Sie auf Computer anzeigen, um eine Liste der Computer einzusehen, die die Aufgabe empfangen.
  9. Klicken Sie auf Zurück.
  10. Klicken Sie auf Speichern.
    Die Aufgabe kann veröffentlicht werden. Weitere Informationen finden Sie unter Aufgaben veröffentlichen.

IOC-Suchergebnisse

Nachdem Sie die Suchaufgabe veröffentlicht haben und diese ausgeführt wird, können Sie die Suchergebnisse in der Liste Erkannte Kompromittierungsindikatoren und auf dem IOC-Dashboard prüfen. Weitere Informationen finden Sie unter Kompromittierungsindikatoren-Dashboard. Je mehr Dateien durchsucht werden sollen, desto länger benötigt Endpoint Security für die Suchaufgabe. Suchaufgaben mit MD5- oder Yara-Richtlinien können länger dauern.

Um eine Überlastung des Netzwerks im Fall einer Infizierung vieler Dateien auf jedem Computer im Netzwerk verhindern zu helfen, schränkt WatchGuard Advanced EPDR die Tiefe der Suchvorgänge und deren Berichte ein.

  • Einfache IOCs oder IOCs mit einer YARA-Richtlinie — Suchvorgänge nach einem einzelnen Attribut mit einem spezifischen Wert. IOCs geben bis zu 10 Ergebnisse pro Computer zurück, wonach die Suche stoppt.

  • Komplexe IOCs — Suchvorgänge für mehrere Attribute oder ein Attribut mit mehreren Werten. IOCs geben das erste auf dem jeweiligen Computer gefundene Ergebnis zurück, wonach die Suche stoppt.

Ähnliche Themen

Über die Galerie der Kompromittierungsindikatoren

Über Aufgaben

Mehrmandantenfähige Verwaltung — Aufgaben verwalten