Zum Inhalt

Beheben von PUA-Warnmeldungen

So können Sie PUA-Warnmeldungen beheben.

Wir informieren Sie in Warnmeldungen, wenn Sie Maßnahmen ergreifen oder eine PUA-Erkennung untersuchen müssen. Wir sagen Ihnen auch, ob wir versucht haben, die PUA zu bereinigen. Dies wird auf der Detailseite des Geräts angezeigt. Siehe Geräte.

Wir können auch einen Bedrohungsgraphen erstellen. Ein Fall liefert weitere Informationen über die erkannte PUA. Siehe Bedrohungsgraphen.

Prüfen Sie, ob die PUA ein False Positive ist

Unter Umständen werden Objekte fälschlicherweise als Malware eingestuft. Ein Beispiel: Deep-Learning-Erkennung (Erkennungsname: ML/PE-A) nutzt maschinelles Lernen, um bisher unbekannte Malware zu identifizieren. Obwohl diese Methode äußerst effektiv ist, werden legitime Anwendungen mitunter als Malware eingestuft.

Wenn die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Wenn die Erkennung korrekt ist, sollten Sie die Anwendung bereinigen.

Wenn Sie sich nicht sicher sind, ob die Anwendung schädlich oder eine PUA ist, sollten Sie die Warnmeldung untersuchen. Sie können die Anwendung dann nach Bedarf zulassen oder bereinigen.

Überprüfen einer Warnmeldung

Die Warnmeldung gibt Ihnen möglicherweise nicht alle Informationen, die Sie über eine erkannte PUA benötigen. Wenn Sie nicht sicher sind, ob es sich um eine böswillige oder unerwünschte Anwendung handelt, überprüfen Sie alle Informationen, die Sie zu einer erkannten PUA erhalten können.

Verfahren Sie wie folgt:

  1. Überprüfen Sie, ob ein Bedrohungsgraph vorhanden ist. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center.
  2. Suchen Sie nach einem Bedrohungsgraphen, der mit der erkannten PUA verknüpft ist.

    Wenn ein Bedrohungsgraph vorhanden ist, werden die Details für die erkannte PUA angezeigt. Hier werden alle durchgeführten Aktivitäten angezeigt und Sie sehen, ob andere verdächtige Dateien oder Prozesse untersucht werden müssen.

    1. Wenn kein Bedrohungsgraph vorhanden ist, erstellen Sie einen.
  3. Optional: Setzen Sie sich gegebenenfalls mit dem Benutzer in Verbindung, um herauszufinden, was zum Zeitpunkt der Infektion passiert ist. Wurde beispielsweise in einer E-Mail auf einen Link geklickt oder ein USB-Laufwerk angeschlossen?

  4. Untersuchen Sie den Bedrohungsgraphen und befolgen Sie die angegebenen Handlungsschritte.

    Für Hilfe zur Untersuchung von Bedrohungen mit Bedrohungsgraphen siehe Analyse des Bedrohungsgraphen.

  5. Wenn Sie Ihre Untersuchung abgeschlossen haben, wählen Sie eine der folgenden Optionen:

    • Wenn Sie der Meinung sind, dass die Erkennung falsch ist, lassen Sie die Anwendung zu oder fügen Sie einen Ausschluss hinzu. Siehe Umgang mit einem False Positive.
    • Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, bereinigen Sie die Anwendung. Siehe PUA bereinigen.
  6. Beheben Sie den Alarm. Siehe None.

Umgang mit einem False Positive

Wenn Sie der Meinung sind, dass die Erkennung falsch ist, können Sie die Anwendung zulassen oder einen Ausschluss hinzufügen.

Warnung

Gehen Sie beim Zulassen von Anwendungen oder Hinzufügen von Ausschlüssen mit Bedacht vor. Dies kann Ihren Schutz verringern.

Wenn Sie beispielsweise ein Verzeichnis ausschließen und Malware von diesem Verzeichnis ausgeführt wird, wird die Malware nicht blockiert.

Verfahren Sie mit False Positives wie folgt:

  • Wenn Sie eine Anwendung zulassen möchten, verfahren Sie wie folgt:

    1. Gehen Sie zu Geräte.
    2. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
    3. Suchen Sie nach dem Gerät, auf dem die Anwendung erkannt wurde und lassen Sie sich dessen Details anzeigen.
    4. Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
    5. Schauen Sie im Dialogfeld Ereignisdetails unter Diese Anwendung erlauben.
    6. Wählen Sie aus, wie Sie die Anwendung zulassen möchten.
      • Zertifikat: Wir empfehlen dies. Damit werden auch andere Anwendungen mit demselben Zertifikat erlaubt.
      • SHA-256: Hiermit wird nur diese Version der Anwendung erlaubt. Wenn Sie die Anwendung jedoch aktualisieren, wird sie unter Umständen erneut erkannt.
      • Pfad: Dies lässt die Anwendung zu, wenn sie an diesem Speicherort installiert ist. Sie können Variablen verwenden, wenn die Anwendung an verschiedenen Speicherorten auf unterschiedlichen Computern gespeichert ist.
    7. Klicken Sie auf Zulassen. Für weitere Informationen zum Zulassen von Anwendungen siehe Erlaubte Anwendungen.
  • Wenn Sie einen Ausschluss hinzufügen möchten, empfehlen wir, richtlinienbasierte Ausschlüsse zu verwenden. Sie können Ihre Ausschlüsse gezielt vornehmen und so spezifisch wie möglich gestalten. Um einen Ausschluss hinzuzufügen, gehen Sie folgendermaßen vor:

    1. Für Endpoints wechseln Sie zu Endpoint Protection > Richtlinien und richten einen Ausschluss ein.

      Siehe Threat Protection-Richtlinie.

    2. Für Server wechseln Sie zu Server Protection > Richtlinien und richten einen Ausschluss ein.

      Siehe Threat Protection-Richtlinie für Server.

  • Auf Endpoints können Sie eine Anwendung von der Seite Alarme aus zulassen. Verfahren Sie wie folgt:

    1. Gehen Sie zu Alarme.
    2. Suchen Sie die PUA-Warnmeldung.
    3. Klicken Sie auf PUA autorisieren.

      Warnung

      Die PUA darf auf allen Computern ausgeführt werden. Wir empfehlen, dass Sie eine Anwendung mit ihrem Zertifikat oder SHA-256 zulassen.

Sie können die Warnmeldung jetzt beheben.

PUA bereinigen

Wenn Sie der Meinung sind, dass die Erkennung korrekt ist, können Sie die Anwendung bereinigen. Es empfiehlt sich, die PUA zuerst zu untersuchen. Dies hilft Ihnen dabei, mehr Informationen über alle damit verbundenen Prozesse oder andere verdächtige Dateien zu finden.

Um eine PUA zu bereinigen, gehen Sie wie folgt vor:

  1. Begeben Sie sich zu dem Computer.
  2. Löschen Sie die Anwendung, alle zugehörigen Prozesse und Registrierungsschlüssel.

Beheben eines Alarms

Wenn Sie die Anwendung zugelassen oder entfernt haben, können Sie die Warnmeldung beheben. Verfahren Sie wie folgt:

  1. Gehen Sie zu Alarme.
  2. Rufen Sie die Warnmeldung auf.
  3. Klicken Sie auf Als behoben markieren.