Ereignisse - XWiki

20

Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.

8

9

Das Intervall, in dem der Scanner läuft, kann in der [[Agentenplanervorlage>>doc:ACMP.63.ACMP-Solutions.Client-Management.Agentenplaner.WebHome]] konfiguriert werden.

10

11

12

[[image:Events.PNG||height="817" width="1563"]]

Tab Ereignisse

Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:

20

21

|=Ereignistyp|=Beschreibung

22

|Alarm|Beinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus.

23

|Warnung|Beinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans.

24

|Hinweis|Beinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans.

25

|Fehler|Beinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben.

26

|Information|Beinhaltet alle weiteren Informationen, z.B. die Update-Status.

27

28

29

Das Scannen des Ereignistyps //Information// ist standardmäßig ausgeschaltet. Möchten Sie diesen aktivieren, so können Sie die Änderung im First Steps Wizard des Defender Managements oder in der Navigation unter //System > Einstellung > Defender Management //durch das Aktivieren der Checkbox //Information// vornehmen. Beachten Sie jedoch, dass durch das hohe Aufkommen von Ereignissen es zu einer erhöhten Auslastung der Datenbank kommen kann.

30

31

32

= Ereignisse anzeigen lassen =

33

34

Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin //Defender Management //und klicken Sie auf den Tab //Ereignisse//. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: **gelesen** und **nicht gelesen**.

35

36

Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf //Als gelesen markieren// geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.

37

38

Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:

39

40

|Ereigniseintrag|Kategorisiert alle Ereignisse in 5 Typen

41

|Ereignis-ID|Von Microsoft vergebene ID

42

|Ereignisname|Genauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war

43

|Computername|Name des Clients, auf dem das Ereignis aufgetreten ist

44

|Uhrzeit der Erstellung|Datum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat

45

|Ersteller des Kommentars|Identifizierung des ACMP Benutzers, der den Kommentar erstellt hat

46

|Kommentardatum|Datum des Kommentars

47

|Ereignismeldung|Meldung, die das Ereignis beschreibt

48

|Ereignisebene|Grobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird

49

|Details|Genaue Informationen zum Ereignis

50

51

Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.

52

53

Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.

54

55

= Ereignisse eines bestimmten Clients einsehen =

56

57

Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender-Plugin im Tab //Ereignisse// über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.

58

59

= Ereignisse scannen =

60

61

Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation //Agentenplaner > Defender Scanner//. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.

62

63

= Echtzeitübermittlung von gefundenen Bedrohungen =

64

65

Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen //Alarm// statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.

66

67

= Löschen von veralteten Ereignissen =

68

69

Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.

70

71

Die Jobs finden Sie in der Navigation unter //System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse//. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.

author	version	line-number	content
		1	{{aagon.priorisierung}}
		2	20
		3	{{/aagon.priorisierung}}
		4
		5	{{aagon.floatingbox/}}
		6
		7	Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.
		8
		9	Das Intervall, in dem der Scanner läuft, kann in der [[Agentenplanervorlage>>doc:ACMP.63.ACMP-Solutions.Client-Management.Agentenplaner.WebHome]] konfiguriert werden.
		10
		11	{{figure}}
		12	[[image:Events.PNG\|\|height="817" width="1563"]]
		13
		14	{{figureCaption}}
		15	Tab Ereignisse
		16	{{/figureCaption}}
		17	{{/figure}}
		18
		19	Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:
		20
		21	\|=Ereignistyp\|=Beschreibung
		22	\|Alarm\|Beinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus.
		23	\|Warnung\|Beinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans.
		24	\|Hinweis\|Beinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans.
		25	\|Fehler\|Beinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben.
		26	\|Information\|Beinhaltet alle weiteren Informationen, z.B. die Update-Status.
		27
		28	{{aagon.infobox}}
		29	Das Scannen des Ereignistyps //Information// ist standardmäßig ausgeschaltet. Möchten Sie diesen aktivieren, so können Sie die Änderung im First Steps Wizard des Defender Managements oder in der Navigation unter //System > Einstellung > Defender Management //durch das Aktivieren der Checkbox //Information// vornehmen. Beachten Sie jedoch, dass durch das hohe Aufkommen von Ereignissen es zu einer erhöhten Auslastung der Datenbank kommen kann.
		30	{{/aagon.infobox}}
		31
		32	= Ereignisse anzeigen lassen =
		33
		34	Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin //Defender Management //und klicken Sie auf den Tab //Ereignisse//. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: gelesen und nicht gelesen.
		35
		36	Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf //Als gelesen markieren// geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.
		37
		38	Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:
		39
		40	\|Ereigniseintrag\|Kategorisiert alle Ereignisse in 5 Typen
		41	\|Ereignis-ID\|Von Microsoft vergebene ID
		42	\|Ereignisname\|Genauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war
		43	\|Computername\|Name des Clients, auf dem das Ereignis aufgetreten ist
		44	\|Uhrzeit der Erstellung\|Datum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat
		45	\|Ersteller des Kommentars\|Identifizierung des ACMP Benutzers, der den Kommentar erstellt hat
		46	\|Kommentardatum\|Datum des Kommentars
		47	\|Ereignismeldung\|Meldung, die das Ereignis beschreibt
		48	\|Ereignisebene\|Grobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird
		49	\|Details\|Genaue Informationen zum Ereignis
		50
		51	Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.
		52
		53	Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.
		54
		55	= Ereignisse eines bestimmten Clients einsehen =
		56
		57	Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender-Plugin im Tab //Ereignisse// über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.
		58
		59	= Ereignisse scannen =
		60
		61	Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation //Agentenplaner > Defender Scanner//. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.
		62
		63	= Echtzeitübermittlung von gefundenen Bedrohungen =
		64
		65	Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen //Alarm// statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.
		66
		67	= Löschen von veralteten Ereignissen =
		68
		69	Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.
		70
		71	Die Jobs finden Sie in der Navigation unter //System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse//. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.

Wiki-Quellcode von Ereignisse

Navigation