Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=PUA-alert-resolve

Beheben von PUA-Alerts

Auf dieser Seite erfahren Sie, wie Sie PUAs beheben können.

Potenziell unerwünschte Anwendungen (PUA) sind Programme, die nicht grundsätzlich schädlich, aber für Geschäftsumgebungen möglicherweise ungeeignet sind. Beispielsweise können sie Risiken für den Datenschutz, die Sicherheit oder die Nutzererfahrung innerhalb der Umgebung eines Unternehmens oder einer Organisation mit sich bringen. Kunden können PUAs in ihrer Umgebung basierend auf ihren Geschäftsanforderungen zulassen.

Wir informieren Sie mit Alerts, wenn Sie Maßnahmen ergreifen oder eine PUA-Erkennung untersuchen müssen. Wir sagen Ihnen auch, ob wir versucht haben, die PUA zu bereinigen. Dies wird auf der Detailseite des Geräts angezeigt. Siehe Geräte.

Wir können auch einen Bedrohungsgraphen erstellen. Ein Fall liefert weitere Informationen über die erkannte PUA. Siehe Bedrohungsgraphen.

Prüfen Sie, ob die PUA eine falsch positive Erkennung ist

Unter Umständen werden Objekte fälschlicherweise als Malware eingestuft. Ein Beispiel: Deep-Learning-Erkennung (Erkennungsname: Generic ML PUA) nutzt maschinelles Lernen, um bisher unbekannte Malware zu identifizieren. Obwohl diese Methode äußerst effektiv ist, werden legitime Anwendungen mitunter als Malware eingestuft.

Wenn die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Wenn die Erkennung korrekt ist, sollten Sie die Anwendung bereinigen.

Wenn Sie sich nicht sicher sind, ob die Anwendung schädlich oder eine PUA ist, sollten Sie den Alert untersuchen. Sie können die Anwendung dann nach Bedarf autorisieren oder bereinigen.

Überprüfen eines Alerts

Der Alert enthält möglicherweise nicht alle Informationen, die Sie über eine erkannte PUA benötigen. Wenn Sie nicht sicher sind, ob es sich um eine böswillige oder unerwünschte Anwendung handelt, überprüfen Sie alle Informationen, die Sie zu einer erkannten PUA erhalten können.

Gehen Sie dazu wie folgt vor:

  1. Überprüfen Sie, ob ein Bedrohungsgraph vorhanden ist. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Bedrohungsgraph.

  2. Suchen Sie nach einem Bedrohungsgraphen, der mit der erkannten PUA verknüpft ist.

    Wenn ein Bedrohungsgraph vorhanden ist, werden die Details für die erkannte PUA angezeigt. Hier werden alle durchgeführten Aktivitäten angezeigt und Sie sehen, ob andere verdächtige Dateien oder Prozesse untersucht werden müssen.

    1. Wenn kein Bedrohungsgraph vorhanden ist, erstellen Sie einen.

      Einschränkung

      Sie können keinen Bedrohungsgraph auf Macs erstellen.

  3. Optional: Setzen Sie sich gegebenenfalls mit dem Benutzer in Verbindung, um herauszufinden, was zum Zeitpunkt der Infektion passiert ist. Wurde beispielsweise in einer E-Mail auf einen Link geklickt oder ein USB-Laufwerk angeschlossen?

  4. Untersuchen Sie den Bedrohungsgraphen und befolgen Sie die angegebenen Handlungsschritte.

    Hilfe zur Untersuchung von Bedrohungen mit Bedrohungsgraphen finden Sie unter Analyse des Bedrohungsgraphen.

  5. Wenn Sie Ihre Untersuchung abgeschlossen haben, wählen Sie eine der folgenden Optionen:

    • Wenn Sie der Meinung sind, dass die Erkennung falsch ist, lassen Sie die Anwendung zu oder fügen Sie einen Ausschluss hinzu. Siehe Umgang mit False Positives.
    • Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, bereinigen Sie die Anwendung. Siehe PUA bereinigen.

  6. Beheben Sie den Alert. Siehe Beheben eines Alerts.

Umgang mit False Positives

Wenn Sie der Meinung sind, dass die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Warning

Gehen Sie beim Zulassen von Anwendungen oder Hinzufügen von Ausschlüssen mit Bedacht vor. Dies kann Ihren Schutz verringern.

Wenn Sie beispielsweise ein Verzeichnis ausschließen und Malware von diesem Verzeichnis ausgeführt wird, wird die Malware nicht blockiert.

Verfahren Sie mit falsch positiven Erkennungen wie folgt:

Für Details siehe die folgenden Abschnitte.

Anwendung erlauben

Einschränkung

Sie können diese Funktion unter Windows und Linux verwenden, jedoch nicht auf Macs.

Wenn Sie eine Anwendung erlauben möchten, verfahren Sie wie folgt:

  1. Gehen Sie zu Meine Umgebung > Computer & Server.
  2. Suchen Sie nach dem Gerät, auf dem die Anwendung erkannt wurde und lassen Sie sich dessen Details anzeigen.
  3. Suchen Sie auf der Registerkarte Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
  4. Schauen Sie im Dialogfeld Ereignisdetails unter Diese Anwendung erlauben.

  5. Wählen Sie aus, wie Sie die Anwendung zulassen möchten.

    • Zertifikat (nur Windows): Erlaubt andere Anwendungen mit demselben Zertifikat. Wir empfehlen dies.
    • SHA-256 (Windows, Linux): Nur diese Version der Anwendung wird erlaubt. Wenn Sie die Anwendung jedoch aktualisieren, wird sie unter Umständen erneut erkannt.
    • Pfad (Windows): Erlaubt die Anwendung, wenn sie an diesem Speicherort installiert ist. Sie können Variablen verwenden, wenn die Anwendung an verschiedenen Speicherorten auf unterschiedlichen Computern gespeichert ist.

    • Pfad (Linux): Erlaubt die Anwendung, solange sie am gezeigten Pfad (Speicherort) installiert ist. Sie können den Pfad bearbeiten und Variablen verwenden, wenn die Anwendung auf verschiedenen Computern an unterschiedlichen Speicherorten installiert ist. Sie müssen Schrägstriche verwenden.

      Note

      Sie können auch die folgenden Optionen verwenden, um einen Dateipfad vom Scannen unter Linux auszuschließen:

  6. Klicken Sie auf Zulassen.

Weitere Informationen zum Zulassen von Anwendungen finden Sie unter Erlaubte Anwendungen.

Ausschluss hinzufügen

Wenn Sie einen Ausschluss hinzufügen möchten, empfehlen wir, richtlinienbasierte Ausschlüsse zu verwenden. Sie können Ihre Ausschlüsse gezielt vornehmen und so spezifisch wie möglich gestalten.

Um einen Ausschluss hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Für Endpoints wechseln Sie zu Meine Produkte > Endpoint > Richtlinien und richten einen Ausschluss ein.

    Siehe Threat Protection-Richtlinie.

  2. Für Server wechseln Sie zu Meine Produkte > Server > Richtlinien und richten einen Ausschluss ein.

    Siehe Threat Protection-Richtlinie für Server.

PUA autorisieren

Auf Endpoints können Sie eine Anwendung von der Seite Alerts aus autorisieren.

So autorisieren Sie eine Anwendung:

  1. Gehen Sie zu Meine Umgebung > Alerts.
  2. Suchen Sie den PUA-Alert.

  3. Klicken Sie auf PUA autorisieren.

    Warning

    • Die PUA darf auf allen Computern ausgeführt werden.
    • Für Windows und Linux empfehlen wir, dass Sie eine Anwendung auf der Basis von Zertifikat oder SHA-256 zulassen.

PUA bereinigen

Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, können Sie die Anwendung bereinigen. Es empfiehlt sich, die PUA zuerst zu untersuchen. Dies hilft Ihnen dabei, mehr Informationen über alle damit verbundenen Prozesse oder andere verdächtige Dateien zu finden.

Um eine PUA zu bereinigen, gehen Sie wie folgt vor:

  1. Begeben Sie sich zu dem Computer.
  2. Löschen Sie die Anwendung, alle zugehörigen Prozesse und Registrierungsschlüssel.

Beheben eines Alerts

Wenn Sie die Anwendung autorisiert oder entfernt haben, können Sie den Alert beheben.

Um einen Alert zu beheben, gehen Sie wie folgt vor:

  1. Gehen Sie zu Meine Umgebung > Alerts.
  2. Gehen Sie zum Alert.
  3. Klicken Sie auf Als behoben markieren.