Abrufen der Statistik konfigurieren
So aktivieren Sie das Senden von Informationen von Workstations für den Bereich Ereignisse der Anwendungskontrolle
1.Wählen Sie in der heuristischen Struktur unter Antivirus-Netzwerk Workstations oder Gruppen von Workstations aus, auf denen die Anwendungskontrolle installiert ist und von denen Informationen zum Start von Anwendungen gesendet werden sollen.
2.Wählen Sie im Verwaltungsmenü den Punkt Windows → Dr.Web Agent aus.
3.Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Ereignisse der Anwendungskontrolle überwachen, damit die durch die Anwendungskontrolle registrierten Aktivitäten der Prozesse überwacht werden und die Informationen zu den Ereignissen an den Server gesendet werden. Wenn es keine Serververbindung besteht, werden die Ereignisse nur gesammelt. Wenn die Serververbindung wieder aktiv ist, werden die gesammelten Ereignisse an den Server gesendet. Beim deaktivierten Kontrollkästchen werden die Aktivitäten ignoriert.
4.Klicken Sie auf Speichern.
So aktivieren Sie die Erfassung von Informationen für den Bereich Ereignisse der Anwendungskontrolle durch den Server
5.Wechseln Sie im Bereich Administration → Dr.Web Server-Konfiguration zur Registerkarte Statistik.
6.Aktivieren Sie eine der folgenden Optionen:
•Statistik der Anwendungskontrolle über Prozessaktivitäten. Aktivieren Sie diese Option, damit Informationen zu jeder Aktivität von Prozessen gesendet und aufgezeichnet werden – egal, ob es sich um durch die Anwendungskontrolle zugelassene oder gesperrte Prozesse handelt. Diese Option bewirkt, dass Anwendungen in die Anwendungsliste nur aufgenommen werden, wenn mindestens ein Profil mit einer oder mehreren ausgewählten Kategorien der Kriterien der funktionalen Analyse erstellt und zugewiesen wurde.
Alle Anwendungen können gestartet werden, bis Sie entsprechende Profile erstellen und sie den Workstations des Antivirus-Netzwerks zuweisen.
•Statistik der Anwendungskontrolle über Prozesssperrungen. Aktivieren Sie diese Option, damit Informationen zu den Aktivitäten aller durch die Anwendungskontrolle gesperrten Prozesse gesendet und aufgezeichnet werden. Diese Option bewirkt, dass Anwendungen in die Anwendungsliste erst aufgenommen werden, nachdem Profile erstellt wurden, deren Einstellungen den Start der Anwendungen verhindern, und nachdem diese Profile den Workstations des Antivirus-Netzwerks zugewiesen wurden.
|
Die Aktivierung der Option Statistik der Anwendungskontrolle über Prozessaktivitäten kann die Erfassung der Statistik zum gesamten Antivirus-Netzwerk etwas verlangsamen, da der Vorgang dadurch wesentlich mehr Rechnerressourcen beansprucht. |
7.Klicken Sie auf die Schaltfläche Speichern.
8.Starten Sie den Server neu.
9.Nach dem Neustart erfasst der Server die gesamte Statistik zum Start von Anwendungen, die von allen Workstations mit der installierten Anwendungskontrolle gesendet wird.
Statistik anzeigen
So zeigen Sie die Ereignisse an, die auf den Workstations durch die Anwendungskontrolle registriert wurden
1.Wählen Sie in der hierarchischen Liste die gewünschte Workstation oder Gruppe aus.
2.Wählen Sie im Verwaltungsmenü im Bereich Statistik den Punkt Ereignisse der Anwendungskontrolle.
3.Das Fenster mit der Liste von Anwendungen, die auf den ausgewählten Workstations gesperrt oder zugelassen wurden, erscheint.
4.Die Statistik wird standardmäßig für die letzten 24 Stunden angezeigt. Um die Anzeige auf einen bestimmten Zeitraum zu beschränken, wählen Sie in der Dropdown-Liste den anzuzeigenden Zeitraum mit dem aktuellen Tag als Zeitbasis aus, oder geben Sie auf der Symbolleiste einen beliebigen Zeitraum an. Im letzteren Fall müssen Sie die gewünschten Daten manuell eingeben oder auf das Kalendersymbol neben den Datumsfeldern klicken. Klicken Sie zur Anzeige der relevanten Daten auf Aktualisieren. Im Fenster wird eine Statistiktabelle angezeigt. Die Erläuterung zu den Tabellenspalten finden Sie unten.
Erläuterung zu Tabellenspalten: Ereignisse der Anwendungskontrolle
Spaltenname |
Erläuterung |
|---|---|
ID |
Workstation-ID |
Workstation |
Name der Workstation |
Adresse der Workstation |
Adresse der Workstation |
Sicherheits-ID |
Sicherheits-ID des Benutzerkontos |
Benutzer |
Benutzer der Workstation |
Ereignistyp |
Typ des auf der Workstation erkannten Ereignisses |
Ausgeführte Aktion |
Aktion an der auf der Workstation gestarteten Anwendung |
Kriterium der funktionalen Analyse |
Kriterium, anhand dessen eine Anwendung zugelassen oder gesperrt wird |
Maske der funktionalen Analyse |
Parameter des Kriteriums der funktionalen Analyse. Der Parameter bestimmt, ob die Anwendung auf der Workstation ausgeführt werden darf |
Profil-ID |
ID des Profils |
Profilname |
Profilname |
Regel-ID |
ID der Regel |
Regelname |
Regelname |
Betriebsmodus |
Betriebsmodus der Regel |
Pfad zur Prozessdatei |
Speicherort der Prozessdatei |
Prozess |
Prozess, dessen Ausführung auf der Workstation zugelassen oder verboten ist |
Bulletin mit dem Prozess-Hash |
Bulletin, das den Hash-Wert des gestarteten Prozesses enthält |
Pfad zur Skriptdatei |
Speicherort der Skriptdatei |
Skript |
Skriptdatei |
Bulletin mit dem Skript-Hash |
Bulletin, das den Hash-Wert des gestarteten Skriptes enthält |
Ereigniszeit |
Datum und Zeit des Ereignisses |
Ereignisbenachrichtigung |
Datum und Zeit der Benachrichtigung über das Ereignis |
Datei-Hash (SHA-256) |
Hash-Wert der Datei (SHA-256) |
Dateibeschreibung |
Dateibeschreibung |
Herausgeber |
Herausgeber der Datei |
Zertifikat-Aussteller |
Zertifizierungsstelle, die das Zertifikat ausgestellt hat |
Zertifikat-Hash (SHA-1) |
Hash-Wert des Zertifikats (SHA-1) |
Zertifikat-Startdatum |
Zertifikat-Startdatum |
Zertifikat-Ablaufdatum |
Zertifikat-Ablaufdatum |
|
Die Filterparameter sind nicht immer verfügbar. Ihre Verfügbarkeit hängt von den Daten ab, die während des angegebenen Zeitraums erhalten wurden. Ein Parameter ist nicht verfügbar, wenn keine relevanten Daten während des angegebenen Zeitraums erhalten wurden. |
5.Um die Tabelle auszudrucken oder später zu bearbeiten, klicken Sie eine der folgenden Schaltflächen an:
Daten als CSV-Datei speichern.
Daten als HTML-Datei speichern.
Daten als XML-Datei speichern.
Daten als PDF-Datei speichern.
|
Wenn ein Profil oder eine Regel im Testmodus vorliegt, werden die auf den Workstations gestarteten Anwendungen umfassend entsprechend der Funktionsweise der Anwendungskontrolle von Anfang bis Ende überprüft. In der Statistik werden alle Übereinstimmungen der Anwendung mit allen möglichen Kriterien erfasst: Einstellungen der funktionalen Analyse, Regeln und Gruppe von vertrauenswürdigen Anwendungen. Eine Anwendung kann daher mehrere Einträge in der Spalte Ausgeführte Aktion enthalten, in der angegeben wird, dass sie nach einem Kriterium zugelassen wurde und/oder nach einem anderen Kriterium gesperrt wurde. |
Regeln erstellen
So erstellen Sie eine neue Regel anhand der Statistik zu den Ereignissen der Anwendungskontrolle
1.Wählen Sie im Bereich Statistik → Ereignisse der Anwendungskontrolle die Zeile mit dem Ereignis im Zusammenhang mit dem Startversuch der Anwendung, für die Sie die Startregel erstellen wollen.
2.Beim Anklicken der Zeile der Tabelle erscheint ein Fenster mit Informationen zum ausgewählten Ereignis.
3.Klicken Sie auf die Schaltfläche Regel erstellen.
4.Legen Sie im angezeigten Dialog für die Regelerstellung die folgenden Einstellungen fest:
a)Wählen Sie über die Dropdown-Liste Profilname das Profil der Anwendungskontrolle aus, in dem die Regel erstellt werden soll.
b)Geben Sie im Feld Regelname einen Namen für die Regel an.
c)Im Bereich Regeltyp legen Sie den Typ der neuen Regel fest. Sie können zwischen zwei Typen auswählen: Verbietend oder Erlaubend.
d)Legen Sie mit der Option Betriebsmodus den Modus für die neue Regel fest (die Option ist identisch mit dem Kontrollkästchen Regel in den Testmodus versetzen, das bei der Regelerstellung über das Profil verfügbar ist):
Wollen Sie die Regel zunächst testen, wählen Sie die Option Test aus. Die Anwendungen werden zwar nicht gesperrt, doch das Aktivitätsprotokoll wird geführt, als ob die Einstellungen wirksam wären. Die Ergebnisse eventueller Anwendungsstarts und Anwendungssperrungen im Testmodus der Regel werden im Bereich Ereignisse der Anwendungskontrolle angezeigt.
Bei Auswahl der Option Aktiv wird für die Regel der aktive Modus verwendet: Die Anwendungen werden entsprechend den festgelegten Einstellungen der Regel gesperrt (lesen Sie auch Informationen über die Funktionsmodi für Profile).
e)Die Felder im Bereich Ausführen von Anwendungen nach folgenden Kriterien verbieten/Ausführen von Anwendungen nach folgenden Kriterien zulassen (je nachdem, welcher Regeltyp im Schritt 4c ausgewählt wurde) werden automatisch anhand der Informationen von der Anwendung ausgefüllt, auf deren Grundlage die Regel erstellt wird. Falls gewünscht, können Sie die Einstellungen individuell anpassen.
5.Klicken Sie auf Speichern. Die Regel wird im angegebenen Profil der Anwendungskontrolle erstellt.