Zum Inhalt

Beheben von PUA-Alarmen

So können Sie PUA-Alarme beheben.

Wir informieren Sie mit Alarmen, wenn Sie Maßnahmen ergreifen oder eine PUA-Erkennung untersuchen müssen. Wir sagen Ihnen auch, ob wir versucht haben, die PUA zu bereinigen. Dies wird auf der Detailseite des Geräts angezeigt. Siehe Geräte.

Wir können auch einen Bedrohungsgraphen erstellen. Ein Fall liefert weitere Informationen über die erkannte PUA. Siehe Bedrohungsgraphen.

Prüfen Sie, ob die PUA eine falsch positive Erkennung ist

Unter Umständen werden Objekte fälschlicherweise als Malware eingestuft. Ein Beispiel: Deep-Learning-Erkennung (Erkennungsname: ML/PE-A) nutzt maschinelles Lernen, um bisher unbekannte Malware zu identifizieren. Obwohl diese Methode äußerst effektiv ist, werden legitime Anwendungen mitunter als Malware eingestuft.

Wenn die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Wenn die Erkennung korrekt ist, sollten Sie die Anwendung bereinigen.

Wenn Sie sich nicht sicher sind, ob die Anwendung schädlich oder eine PUA ist, sollten Sie den Alarm untersuchen. Sie können die Anwendung dann nach Bedarf zulassen oder bereinigen.

Überprüfen eines Alarms

Der Alarm enthält möglicherweise nicht alle Informationen, die Sie über eine erkannte PUA benötigen. Wenn Sie nicht sicher sind, ob es sich um eine böswillige oder unerwünschte Anwendung handelt, überprüfen Sie alle Informationen, die Sie zu einer erkannten PUA erhalten können.

Gehen Sie dazu wie folgt vor:

  1. Überprüfen Sie, ob ein Bedrohungsgraph vorhanden ist. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Bedrohungsgraph.
  2. Suchen Sie nach einem Bedrohungsgraphen, der mit der erkannten PUA verknüpft ist.

    Wenn ein Bedrohungsgraph vorhanden ist, werden die Details für die erkannte PUA angezeigt. Hier werden alle durchgeführten Aktivitäten angezeigt und Sie sehen, ob andere verdächtige Dateien oder Prozesse untersucht werden müssen.

    1. Wenn kein Bedrohungsgraph vorhanden ist, erstellen Sie einen.
  3. Optional: Setzen Sie sich gegebenenfalls mit dem Benutzer in Verbindung, um herauszufinden, was zum Zeitpunkt der Infektion passiert ist. Wurde beispielsweise in einer E-Mail auf einen Link geklickt oder ein USB-Laufwerk angeschlossen?

  4. Untersuchen Sie den Bedrohungsgraphen und befolgen Sie die angegebenen Handlungsschritte.

    Für Hilfe zur Untersuchung von Bedrohungen mit Bedrohungsgraphen siehe Analyse des Bedrohungsgraphen.

  5. Wenn Sie Ihre Untersuchung abgeschlossen haben, wählen Sie eine der folgenden Optionen:

    • Wenn Sie der Meinung sind, dass die Erkennung falsch ist, lassen Sie die Anwendung zu oder fügen Sie einen Ausschluss hinzu. Siehe Umgang mit falsch positiven Erkennungen.
    • Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, bereinigen Sie die Anwendung. Siehe PUA bereinigen.
  6. Beheben Sie den Alarm. Siehe Beheben eines Alarms.

Umgang mit falsch positiven Erkennungen

Wenn Sie der Meinung sind, dass die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Warnung

Gehen Sie beim Zulassen von Anwendungen oder Hinzufügen von Ausschlüssen mit Bedacht vor. Dies kann Ihren Schutz verringern.

Wenn Sie beispielsweise ein Verzeichnis ausschließen und Malware von diesem Verzeichnis ausgeführt wird, wird die Malware nicht blockiert.

Verfahren Sie mit falsch positiven Erkennungen wie folgt:

  • Wenn Sie eine Anwendung zulassen möchten, verfahren Sie wie folgt:

    1. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Geräte > Computer oder Server.
    2. Suchen Sie nach dem Gerät, auf dem die Anwendung erkannt wurde und lassen Sie sich dessen Details anzeigen.
    3. Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
    4. Schauen Sie im Dialogfeld Ereignisdetails unter Diese Anwendung erlauben.
    5. Wählen Sie aus, wie Sie die Anwendung zulassen möchten.

      • Zertifikat (nur Windows): Wir empfehlen dies. Damit werden auch andere Anwendungen mit demselben Zertifikat erlaubt.
      • SHA-256 (Windows, Linux): Nur diese Version der Anwendung wird erlaubt. Wenn Sie die Anwendung jedoch aktualisieren, wird sie unter Umständen erneut erkannt.
      • Pfad (Windows): Lässt die Anwendung zu, wenn sie an diesem Speicherort installiert ist. Sie können Variablen verwenden, wenn die Anwendung an verschiedenen Speicherorten auf unterschiedlichen Computern gespeichert ist.
      • Pfad (Linux): Die Anwendung wird erlaubt, solange sie am gezeigten Pfad (Speicherort) installiert ist. Sie können den Pfad (jetzt oder später) bearbeiten und Variablen verwenden, wenn die Anwendung auf verschiedenen Computern an unterschiedlichen Speicherorten installiert ist. Sie müssen Schrägstriche verwenden.

        Hinweis

        Sie können auch die folgenden Optionen verwenden, um einen Dateipfad vom Scannen unter Linux auszuschließen:

    6. Klicken Sie auf Zulassen.

    Für weitere Informationen zum Zulassen von Anwendungen siehe Erlaubte Anwendungen.

  • Wenn Sie einen Ausschluss hinzufügen möchten, empfehlen wir, richtlinienbasierte Ausschlüsse zu verwenden. Sie können Ihre Ausschlüsse gezielt vornehmen und so spezifisch wie möglich gestalten. Um einen Ausschluss hinzuzufügen, gehen Sie folgendermaßen vor:

    1. Für Endpoints wechseln Sie zu Meine Produkte > Endpoint > Richtlinien und richten einen Ausschluss ein.

      Siehe Threat Protection-Richtlinie.

    2. Für Server wechseln Sie zu Meine Produkte > Server > Richtlinien und richten einen Ausschluss ein.

      Siehe Threat Protection-Richtlinie für Server.

  • Auf Endpoints können Sie eine Anwendung von der Seite Alarme aus zulassen. Gehen Sie dazu wie folgt vor:

    1. Gehen Sie zu Alarme.
    2. Suchen Sie den PUA-Alarm.
    3. Klicken Sie auf PUA autorisieren.

      Warnung

      Die PUA darf auf allen Computern ausgeführt werden. Wir empfehlen, dass Sie eine Anwendung mit ihrem Zertifikat oder SHA-256 zulassen.

Sie können den Alarm jetzt beheben.

PUA bereinigen

Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, können Sie die Anwendung bereinigen. Es empfiehlt sich, die PUA zuerst zu untersuchen. Dies hilft Ihnen dabei, mehr Informationen über alle damit verbundenen Prozesse oder andere verdächtige Dateien zu finden.

Um eine PUA zu bereinigen, gehen Sie wie folgt vor:

  1. Begeben Sie sich zu dem Computer.
  2. Löschen Sie die Anwendung, alle zugehörigen Prozesse und Registrierungsschlüssel.

Beheben eines Alarms

Wenn Sie die Anwendung zugelassen oder entfernt haben, können Sie den Alarm beheben. Gehen Sie dazu wie folgt vor:

  1. Gehen Sie zu Alarme.
  2. Gehen Sie zu dem Alarm.
  3. Klicken Sie auf Als behoben markieren.