Beheben von PUA-Warnmeldungen

So können Sie PUA-Warnmeldungen beheben.

Wir informieren Sie in Warnmeldungen, wenn Sie Maßnahmen ergreifen oder eine PUA-Erkennung untersuchen müssen. Wir sagen Ihnen auch, ob wir versucht haben, die PUA zu bereinigen. Dies wird auf der Detailseite des Geräts angezeigt. Siehe Geräte.

Wir können auch einen Bedrohungsfall erstellen. Ein Fall liefert weitere Informationen über die erkannte PUA. Siehe Bedrohungsfälle.

Prüfen Sie, ob die PUA ein False Positive ist

Unter Umständen werden Objekte fälschlicherweise als Malware eingestuft. Ein Beispiel: Deep-Learning-Erkennung (Erkennungsname: ML/PE-A) nutzt maschinelles Lernen, um bisher unbekannte Malware zu identifizieren. Obwohl diese Methode äußerst effektiv ist, werden legitime Anwendungen mitunter als Malware eingestuft.

Wenn die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Wenn die Erkennung korrekt ist, sollten Sie die Anwendung bereinigen.

Wenn Sie sich nicht sicher sind, ob die Anwendung schädlich oder eine PUA ist, sollten Sie die Warnmeldung untersuchen. Sie können die Anwendung dann nach Bedarf zulassen oder bereinigen.

Umgang mit False Positives

Wenn Sie der Meinung sind, dass die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Warnung Gehen Sie beim Zulassen von Anwendungen oder Hinzufügen von Ausschlüssen mit Bedacht vor. Dies kann Ihren Schutz verringern.

Wenn Sie beispielsweise ein Verzeichnis ausschließen und Malware von diesem Verzeichnis ausgeführt wird, wird die Malware nicht blockiert.

Verfahren Sie mit False Positives wie folgt:

  • Wenn Sie eine Anwendung zulassen möchten, verfahren Sie wie folgt:
    1. Gehen Sie zu Übersicht und klicken Sie auf Geräte.
    2. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
    3. Suchen Sie nach dem Gerät, auf dem die Anwendung erkannt wurde und lassen Sie sich dessen Details anzeigen.
    4. Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
    5. Schauen Sie im Dialogfeld Ereignisdetails unter Diese Anwendung erlauben.
    6. Wählen Sie aus, wie Sie die Anwendung zulassen möchten.
      • Zertifikat: Wir empfehlen dies. Damit werden auch andere Anwendungen mit demselben Zertifikat erlaubt.
      • SHA-256: Hiermit wird nur diese Version der Anwendung erlaubt. Wenn Sie die Anwendung jedoch aktualisieren, wird sie unter Umständen erneut erkannt.
      • Pfad: Dies lässt die Anwendung zu, wenn sie an diesem Speicherort installiert ist. Sie können Variablen verwenden, wenn die Anwendung an verschiedenen Speicherorten auf unterschiedlichen Computern gespeichert ist.
    7. Klicken Sie auf Zulassen.

    Weitere Informationen zum Zulassen von Anwendungen finden Sie unter Erlaubte Anwendungen.

  • Wenn Sie einen Ausschluss hinzufügen möchten, empfehlen wir, richtlinienbasierte Ausschlüsse zu verwenden. Sie können Ihre Ausschlüsse gezielt vornehmen und so spezifisch wie möglich gestalten. Um einen Ausschluss hinzuzufügen, gehen Sie folgendermaßen vor:
    1. Für Endpoints wechseln Sie zu Endpoint Protection > Richtlinien und richten einen Ausschluss ein.
    2. Für Server wechseln Sie zu Server Protection > Richtlinien und richten einen Ausschluss ein.
  • Auf Endpoints können Sie eine Anwendung von der Seite Alarme aus zulassen. Verfahren Sie wie folgt:
    1. Gehen Sie zu Übersicht > Alarme.
    2. Suchen Sie die PUA-Warnmeldung.
    3. Klicken Sie auf PUA autorisieren.
      Warnung Die PUA darf auf allen Computern ausgeführt werden. Wir empfehlen, dass Sie eine Anwendung mit ihrem Zertifikat oder SHA-256 zulassen.

Sie können die Warnmeldung jetzt beheben.

PUA bereinigen

Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, können Sie die Anwendung bereinigen.

Verfahren Sie wie folgt:

  • Auf Endpoints können Sie eine PUA auf der Seite Alarme entfernen. Verfahren Sie wie folgt:
    1. Gehen Sie zu Übersicht > Alarme.
    2. Klicken Sie auf PUA bereinigen

    Eventuell ist diese Maßnahme nicht verfügbar, wenn die PUA in einem gemeinsam genutzten Netzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Endpoint Protection-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt.

  • Wenn Sie die PUA nicht über die Seite Alarme bereinigen können, gehen Sie wie folgt vor:
    1. Löschen Sie die Anwendung, alle zugehörigen Prozesse und Registrierungsschlüssel.

      Es bietet sich an, die Warnmeldung zu Rate zu ziehen, da Sie so mehr Informationen über alle damit verbundenen Prozesse oder andere verdächtige Dateien finden können.

Überprüfen einer Warnmeldung

Die Warnmeldung gibt Ihnen möglicherweise nicht alle Informationen, die Sie über eine erkannte PUA benötigen. Wenn Sie nicht sicher sind, ob es sich um eine böswillige oder unerwünschte Anwendung handelt, sollten Sie alle Informationen überprüfen, die Sie zu einer erkannten PUA erhalten können.

Verfahren Sie wie folgt:

  1. Überprüfen Sie, ob ein Bedrohungsfall vorhanden ist. Gehen Sie in Sophos Central zu Übersicht und klicken Sie anschließend auf Bedrohungsanalyse-Center.
  2. Suchen Sie nach einem Bedrohungsfall, der mit der erkannten PUA verknüpft ist.

    Wenn ein Bedrohungsfall vorhanden ist, werden die Details für die erkannte PUA angezeigt. Hier werden alle durchgeführten Aktivitäten angezeigt und Sie sehen, ob andere verdächtige Dateien oder Prozesse untersucht werden müssen.

  3. Wenn kein Bedrohungsfall vorhanden ist, erstellen Sie einen.
  4. Optional Setzen Sie sich gegebenenfalls mit dem Benutzer in Verbindung, um herauszufinden, was zum Zeitpunkt der Infektion passiert ist. Wurde beispielsweise in einer E-Mail auf einen Link geklickt oder ein Memory Stick angeschlossen?
  5. Untersuchen Sie den Bedrohungsfall und befolgen Sie die angegebenen Handlungsschritte.

    Hilfe zur Untersuchung von Bedrohungen mit Bedrohungsfällen finden Sie unter Bedrohungsfall-Detailseite.

  6. Wenn Sie die Anwendung zulassen möchten, befolgen Sie die Schritte im Umgang mit False Positives.
  7. Wenn Sie die Anwendung entfernen möchten, befolgen Sie die Schritte unter PUA bereinigen.

Sie können die Warnmeldung jetzt beheben.

Beheben einer Warnmeldung

Wenn Sie die Anwendung zugelassen oder entfernt haben, können Sie die Warnmeldung beheben. Verfahren Sie wie folgt:

  1. Gehen Sie zu Übersicht > Alarme.
  2. Rufen Sie die Warnmeldung auf.
  3. Klicken Sie auf Als behoben markieren