Ereignisse
Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.
Das Intervall, in dem der Scanner läuft, kann in der Agentenplanervorlage konfiguriert werden.
Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:
Ereignistyp | Beschreibung |
---|---|
Alarm | Beinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus. |
Warnung | Beinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans. |
Hinweis | Beinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans. |
Fehler | Beinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben. |
Information | Beinhaltet alle weiteren Informationen, z.B. die Update-Status. |
Ereignisse anzeigen lassen
Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin Defender Management und klicken Sie auf den Tab Ereignisse. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: gelesen und nicht gelesen.
Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf Als gelesen markieren geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.
Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:
Ereigniseintrag | Kategorisiert alle Ereignisse in 5 Typen |
Ereignis-ID | Von Microsoft vergebene ID |
Ereignisname | Genauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war |
Computername | Name des Clients, auf dem das Ereignis aufgetreten ist |
Uhrzeit der Erstellung | Datum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat |
Ersteller des Kommentars | Identifizierung des ACMP Benutzers, der den Kommentar erstellt hat |
Kommentardatum | Datum des Kommentars |
Ereignismeldung | Meldung, die das Ereignis beschreibt |
Ereignisebene | Grobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird |
Details | Genaue Informationen zum Ereignis |
Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.
Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.
Ereignisse eines bestimmten Clients einsehen
Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender-Plugin im Tab Ereignisse über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.
Ereignisse scannen
Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation Agentenplaner > Defender Scanner. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.
Echtzeitübermittlung von gefundenen Bedrohungen
Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen Alarm statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.
Löschen von veralteten Ereignissen
Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.
Die Jobs finden Sie in der Navigation unter System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.