Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.

Das Intervall, in dem der Scanner läuft, kann in der Agentenplanervorlage konfiguriert werden.

Events.PNG

Tab Ereignisse

Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:

EreignistypBeschreibung
AlarmBeinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus.
WarnungBeinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans.
HinweisBeinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans.
FehlerBeinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben.
InformationBeinhaltet alle weiteren Informationen, z.B. die Update-Status.

Warning  Achtung: 

Das Scannen des Ereignistyps Information ist standardmäßig ausgeschaltet. Möchten Sie diesen aktivieren, so können Sie die Änderung im First Steps Wizard des Defender Managements oder in der Navigation unter System > Einstellung > Defender Management durch das Aktivieren der Checkbox Information vornehmen. Beachten Sie jedoch, dass durch das hohe Aufkommen von Ereignissen es zu einer erhöhten Auslastung der Datenbank kommen kann.

Ereignisse anzeigen lassen

Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin Defender Management und klicken Sie auf den Tab Ereignisse. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: gelesen und nicht gelesen.

Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf Als gelesen markieren geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.

Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:

EreigniseintragKategorisiert alle Ereignisse in 5 Typen
Ereignis-IDVon Microsoft vergebene ID
EreignisnameGenauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war
ComputernameName des Clients, auf dem das Ereignis aufgetreten ist
Uhrzeit der ErstellungDatum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat
Ersteller des KommentarsIdentifizierung des ACMP Benutzers, der den Kommentar erstellt hat
KommentardatumDatum des Kommentars
EreignismeldungMeldung, die das Ereignis beschreibt
EreignisebeneGrobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird
DetailsGenaue Informationen zum Ereignis

Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.

Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.

Ereignisse eines bestimmten Clients einsehen

Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender-Plugin im Tab Ereignisse über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.

Ereignisse scannen

Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation Agentenplaner > Defender Scanner. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.

Echtzeitübermittlung von gefundenen Bedrohungen

Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen Alarm statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.

Löschen von veralteten Ereignissen

Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.

Die Jobs finden Sie in der Navigation unter System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.

Tags:

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community