Ereignistypen

Hierbei handelt es sich um die Ereignistypen, die Sie in Sophos Central sehen können.

Je nachdem, welche Features in Ihrer Lizenz enthalten sind, werden alle oder einige der folgenden Ereignistypen angezeigt:

Ereignisse, die eine Maßnahme erfordern, werden ebenfalls auf der Seite Warnhinweise angezeigt, auf der Sie entsprechend handeln können.

Wenn Sie eine Maßnahme ergreifen oder den Warnhinweis ignorieren, wird er nicht mehr auf der Seite Warnhinweise angezeigt; das Ereignis selbst verbleibt jedoch in der Liste Ereignisse.

Laufzeitanalysen

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Aktive Malware erkannt

Mittel

Nein

Auf dem Computer wurde ein ausgeführtes Programm entdeckt, das bösartiges oder verdächtiges Verhalten zeigt. Sophos Central wird versuchen, die Bedrohung zu entfernen. Nach erfolgreicher Entfernung wird auf der Seite Warnhinweise kein Warnhinweis mehr angezeigt. Der Ereignisliste wird das Ereignis Aktive Malware bereinigt hinzugefügt.

Ausgeführte Malware nicht bereinigt

Hoch

Ja

Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt, konnte nicht entfernt werden. Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden:

Aktive Malware bereinigt

Niedrig

Nein

Bösartige Aktivität erkannt

Hoch

Ja

Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist.

Aktive Malware lokal entfernt

Niedrig

Nein

Ein aktiver Malware-Alert wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.

Ransomware erkannt

Hoch

Nein

Ein nicht autorisiertes Programm hat versucht, eine geschützte Anwendung zu verschlüsseln.

Ransomware-Angriff aufgelöst

Niedrig

Nein

Remote ausgeführte Ransomware erkannt

Mittel

Ja

Ein nicht autorisiertes Programm hat versucht, per Fernzugriff eine geschützte Anwendung zu verschlüsseln.

Per Fernzugriff ausgeführter Ransomware-Angriff aufgelöst

Niedrig

Nein

Es wurde Ransomware erkannt, die einen Remote-Rechner angreift

Hoch

Ja

Es wurde festgestellt, dass dieser Computer versucht, Anwendungen auf einem anderen Computer per Fernzugriff zu verschlüsseln.

Safe Browsing hat manipulierten Browser erkannt

Mittel

Ja

Es wurde ein Versuch, eine Sicherheitslücke in einem Browser auszunutzen, blockiert.

Verhindertes Exploit

Niedrig

Nein

Es wurde ein Versuch, eine Sicherheitslücke in einer Anwendung auf einem Endpoint-Computer auszunutzen, blockiert.

Hijacking von Anwendung verhindert

Niedrig

Nein

Hijacking von Anwendung wurde auf einem Endpoint-Computer verhindert.

Verhalten

Niedrig

Ja

Diese Anwendung wurde als verdächtig eingestuft.

In einigen Fällen ist ein Neustart erforderlich, um den Bereinigungsprozess abzuschließen. In diesem Fall wird ein Neustart-Ereignis angezeigt.

Dieser Erkennungstyp ist nur verfügbar, wenn Sie für das Early Access-Programm angemeldet sind.

Überwachung von Anwendungen

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Anwendung blockiert

Mittel

Nein

Anwendung erlaubt

Niedrig

Nein

Eine Controlled Application wurde erkannt und dann erlaubt.

Malware

Wenn Sie Deep Learning aktiviert haben, werden Malware-Erkennungen möglicherweise als ML/PE-A angezeigt.

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Malware erkannt

Mittel

Nein

Malware wurde auf einem Gerät entdeckt, das von Sophos Central überwacht wird. Sophos Central wird versuchen, die Bedrohung zu entfernen. Nach erfolgreicher Entfernung wird auf der Seite Warnhinweise kein Warnhinweis mehr angezeigt. In der Ereignisliste erscheint das Ereignis „Malware bereinigt“.

Malware nicht entfernt

Hoch

Ja

Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden:

Malware entfernt

Niedrig

Nein

Wiederkehrende Infektion

Hoch

Ja

Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneut infiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nicht erkannt wurden.

Bedrohung entfernt

Niedrig

Nein

Malware lokal entfernt

Niedrig

Nein

Ein Malware-Alert wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.

Potenziell unerwünschte Anwendung (PUA)

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Potentiell unerwünschte Anwendung (PUA) blockiert

Mittel

Ja

Eine potentiell unerwünschte Anwendung (PUA) wurde erkannt und blockiert.

Potentiell unerwünschte Anwendung (PUA) nicht bereinigt

Mittel

Ja

Für diesen Ereignistyp können die folgenden Ereignisse angezeigt werden:

Potentiell unerwünschte Anwendung (PUA) bereinigt

Niedrig

Nein

PUA-Alert (potenziell unerwünschte Anwendung) lokal entfernt

Niedrig

Nein

Ein PUA-Alert (potenziell unerwünschte Anwendung) wurde aus der Alert-Liste auf einem Endpoint-Computer entfernt.

Richtlinienverstöße

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Abweichend von Richtlinie

Mittel

Ja

Ein Warnhinweis wird auf der Seite Warnhinweise angezeigt, wenn ein Computer länger als zwei Stunden von der Richtlinie abweicht.

Einhaltung von Richtlinie

Niedrig

Nein

Echtzeit-Schutz deaktiviert

Hoch

Ja

Ein Warnhinweis wird auf der Seite Warnhinweise angezeigt, wenn der Echtzeit-Schutz für einen Computer länger als 2,5 Stunden deaktiviert ist.

Echtzeit-Schutz erneut aktiviert

Niedrig

Nein

Web Control

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Richtlinie über Web-Ereignisse

Niedrig

Nein

Prüfen Sie die entsprechenden Berichte, um weitere Informationen darüber zu erhalten, wie Benutzer auf die Websites zugreifen, wer die Richtlinie verletzt und welche Benutzer Malware heruntergeladen haben.

Web-Bedrohungsereignisse

Niedrig

Nein

Nein

Produktupdates

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Computer oder Server veraltet

Mittel

Ja

Aktualisierung erfolgreich

Niedrig

Nein

Aktualisierung fehlgeschlagen

Niedrig

Nein

Neustart empfohlen

Niedrig

Nein

Neustart erforderlich

Mittel

Ja

Sicherheitshinweise

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Neue registrierte Computer oder Server

Niedrig

Nein

Computer oder Server erneut geschützt

Niedrig

Nein

Neuer Computer oder Server geschützt

Niedrig

Nein

Computer oder Server konnte nicht geschützt werden

Hoch

Ja

Ein Computer hat mit der Installation der Agent-Software begonnen, wurde jedoch eine Stunde lang nicht geschützt.

Fehler gemeldet

Niedrig

Nein

Scan abgeschlossen

Niedrig

Nein

Neue Logins hinzugefügt

Niedrig

Nein

Neue Benutzer automatisch hinzugefügt

Niedrig

Nein

Überwachung von Peripheriegeräten

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Peripherie erkannt

Mittel

Ja

Peripherie erlaubt

Niedrig

Nein

Peripherie schreibgeschützt

Niedrig

Nein

Peripherie blockiert

Niedrig

Nein

Duplizierte Geräte

Wenn Sophos Central duplizierte Geräte erkennt, wird eine Warnmeldung ausgegeben. Von einem Image geklonte Geräte besitzen die gleiche Kennung. Bei duplizierten Kennungen können Verwaltungsprobleme auftreten.

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Erkennung von duplizierten Geräten

Mittel

Nein

Auf der Seite Warnhinweise wird eine Warnung angezeigt, wenn ein dupliziertes Gerät erkannt wird. Duplizierte Geräte werden mit einer neuen Kennung erneut registriert.

Gerät dedupliziert

Niedrig

Ja

Überprüfen Sie die Gruppen und Richtlinien für deduplizierte Geräte auf ihre Richtigkeit.

Synchronisierung mit Active Directory

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Active Directory-Synchronisierungsfehler

Hoch

Ja

Ein Warnhinweis erscheint auf der Seite Warnhinweise, wenn ein Fehler der Active Directory-Synchronisierung über eine Stunde nicht gelöst wurde.

Active Directory-Synchronisierung erfolgreich

Niedrig

Nein

Warnung zur Active Directory-Synchronisierung

Mittel

Nein

Download-Reputation

Sophos Central warnt Endbenutzer, wenn ein Download eine niedrige Reputation aufweist. Diese Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt.

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Benutzer hat einen Download mit niedriger Reputation gelöscht

Niedrig

Nein

Ein Benutzer hat einen Download gelöscht, nachdem Sophos Central vor dessen niedriger Reputation gewarnt hatte.

Benutzer hat Download mit niedriger Reputation als vertrauenswürdig eingestuft

Niedrig

Nein

Ein Benutzer hat einen Download als vertrauenswürdig eingestuft, nachdem Sophos Central vor dessen niedriger Reputation gewarnt hatte.

Download mit niedriger Reputation automatisch als vertrauenswürdig eingestuft

Niedrig

Nein

Sophos Central hat einen Download mit niedriger Reputation erkannt und ihn automatisch als vertrauenswürdig eingestuft.

Dies geschieht nur dann, wenn Sie Ihre Einstellungen zur Reputationsprüfung auf „Nur protokollieren“ ändern.

Firewall

Wenn eine Sophos XG Firewall bei Sophos Central registriert ist, können Ihre Computer regelmäßig Berichte zu ihrem Sicherheitsstatus an Sophos XG Firewall senden. Diese Berichte werden auch „Security Heartbeats“ genannt.

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Ausbleibende Heartbeat-Signale gemeldet

Hoch

Ja

Ein Computer sendet keine Security Heartbeat-Signale mehr an eine Sophos XG Firewall, jedoch wird weiterhin Netzwerkdatenverkehr übertragen. Der Computer ist eventuell infiziert. Die Sophos XG Firewall beschränkt eventuell den Zugang des Computers zum Netzwerk (je nach Richtlinie Ihres Unternehmens).

Erneuter Empfang von Heartbeat-Signalen gemeldet

Niedrig

Nein

Ein Computer hat den Versand von Security Heartbeat-Signalen an die Sophos XG Firewall wiederaufgenommen.

Geräteverschlüsselung

Anmerkung Bei den meisten Warnhinweisen für die Geräteverschlüsselung sollte der Computer neu gestartet und mit dem Server synchronisiert werden.

Ereignistyp

Schweregrad

Maßnahme erforderlich?

Beschreibung

Schlüsselerzeugung fehlgeschlagen

Mittel

Siehe Hinweis

Es konnte kein Schlüssel erzeugt werden (TPM-Schlüssel, TPM+PIN-Schlüssel, USB-Schlüssel, Wiederherstellungsschlüssel).

Geräteverschlüsselung fehlgeschlagen

Mittel

Siehe Hinweis

Ein Volume konnte nicht verschlüsselt werden.

Informationen zur Geräteverschlüsselung

Niedrig

Siehe Hinweis

Informationen zu diversen Ereignissen, z. B. wenn der Benutzer die Verschlüsselung auf später verschoben hat oder eine PIN/ein Kennwort zurückgesetzt wurde.

Gerät nicht verschlüsselt

Mittel

Siehe Hinweis

Siehe Warnhinweise für Device Encryption.

Status der Geräteverschlüsselung geändert

Niedrig

Siehe Hinweis

Der Device Encryption-Status hat sich in einen anderen Status geändert. Siehe Computer.

Device Encryption ist vorübergehend außer Kraft gesetzt

Mittel

Siehe Hinweis

Siehe Warnhinweise für Device Encryption.

Wiederherstellungsschlüssel fehlt

Mittel

Siehe Hinweis

Siehe Warnhinweise für Device Encryption.

Erhaltene Wiederherstellungsschlüssel

Niedrig

Siehe Hinweis

Sophos Central hat einen Wiederherstellungsschlüssel von einem Endpoint-Computer erhalten.

Widerrufene Schlüssel

Niedrig

Siehe Hinweis

Es wurde ein Wiederherstellungsschlüssel in Sophos Central angezeigt, deshalb wurde er zurückgenommen und ersetzt.

Data Loss Prevention

Ereignistyp

Beschreibung

Es wurde die Maßnahme „Benutzerbestätigte Übertragung zulassen“ ergriffen.

Es wurde eine Datei mit gesteuerten Informationen übertragen, nachdem ein Benutzer die Übertragung der Informationen bestätigt hat.

Es wurde die Maßnahme „Dateiübertragung zulassen“ ergriffen.

Es wurde eine Datei mit gesteuerten Informationen übertragen.

Es wurde die Maßnahme „Übertragung blockieren“ ergriffen.

Die Übertragung einer Datei mit gesteuerten Informationen wurde blockiert.

Amazon Web Services (AWS)

Sophos Central meldet alle AWS-Verbindungsfehler.