Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=server-data-collection-policy

Richtlinie zur Datensammlung und Analyse für Server

Die Richtlinie zur Datensammlung und Analyse für Server ermöglicht es Ihnen, Daten von Servern in unseren Data Lake hochzuladen. Dadurch können Sie auch Live Response nutzen, um auf Server zuzugreifen und diese zu untersuchen.

Um die Richtlinie anzuzeigen oder zu bearbeiten, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Meine Produkte > Server.
  2. Klicken Sie auf Richtlinien.

  3. Gehen Sie zu Datensammlung und Analyse und klicken Sie auf eine Richtlinie, um deren Details zu öffnen.

    Die Basisrichtlinie gilt standardmäßig für alle Geräte. Sie könnten auch benutzerdefinierte Richtlinien für Gruppen von Geräten haben, die Sie angeben. Siehe Über Richtlinien.

  4. Klicken Sie auf die Registerkarte Einstellungen.

Als Nächstes konfigurieren Sie die unten stehenden Einstellungen.

Live Response

Um Live-Response-Einstellungen zu ändern, müssen Sie ein Superadmin sein oder eine benutzerdefinierte Rolle haben, die die Berechtigung „Datensammlungs- und Analyseeinstellungen für Server verwalten“ enthält. Siehe Administratoren Zugriff auf Live Response gewähren.

Live-Response-Verbindungen zu Servern erlauben: Mit dieser Einstellung können Sie eine direkte Verbindung zu Servern herstellen, um mögliche Sicherheitsprobleme zu untersuchen und zu beheben.

Mit Live Response können Sie verdächtige Prozesse beenden, Server mit ausstehenden Updates neu starten, Ordner durchsuchen, Dateien löschen und vieles mehr.

Live Response ist standardmäßig aktiviert, wenn Sie Sophos MDR verwenden. Andernfalls ist diese Option standardmäßig deaktiviert.

Informationen zur Verwendung von Live Response finden Sie unter Einrichten und Starten von Live Response.

Wenn Sie Live Response aktivieren, aber den Zugriff auf sensible Server verhindern möchten, platzieren Sie sie in einer Gruppe und wenden Sie eine Richtlinie an, bei der Live Response deaktiviert ist.

Legacy-Live-Response-Ausschlüsse

Wenn Sie Live-Response-Ausschlüsse festgelegt haben, bevor wir Richtlinien zur Datensammlung und Analyse eingeführt haben, verschieben wir automatisch die ausgeschlossenen Server zu benutzerdefinierten Richtlinien, bei denen Live Response deaktiviert ist.

Data-Lake-Uploads

Um Einstellungen für Daten-Uploads zu ändern, müssen Sie ein Superadmin sein oder eine benutzerdefinierte Rolle haben, die die Berechtigung „Datensammlungs- und Analyseeinstellungen für Server verwalten“ enthält. Siehe Benutzerdefinierte Rolle hinzufügen.

In den Data Lake hochladen: Diese Einstellung ermöglicht es Servern, Sicherheitsdaten in den Sophos Data Lake hochzuladen. Sie können diese Daten mit Live Discover oder unserem KI-Assistenten abfragen.

Die Data Lake-Uploads sind standardmäßig aktiviert.

Wenn Sie verhindern möchten, dass einige Server Daten hochladen, platzieren Sie sie in einer Gruppe und wenden Sie eine Richtlinie an, bei der Data Lake-Uploads deaktiviert sind.

Legacy-Upload-Ausschlüsse

Wenn Sie Data-Lake-Upload-Ausschlüsse festgelegt haben, bevor wir Richtlinien zur Datensammlung und Analyse eingeführt haben, verschieben wir die ausgeschlossenen Server automatisch in benutzerdefinierte Richtlinien, bei denen Data Lake-Uploads deaktiviert sind.

Note

Bei einer großen Umgebung kann es zu einem plötzlichen Anstieg des Netzwerkverkehrs kommen, wenn Data Lake-Uploads aktiviert sind.

Note

Sie können Daten aus anderen Sophos-Produkten und Produkten von Drittanbietern in unseren Data Lake hochladen. Eine Liste finden Sie unter Produkte.

Ausschlüsse

Sie können einen Ausschluss für Ereignissammlungen hinzufügen. So wird die Sammlung von Ereignissen für die Sophos-Journals sowie den Data Lake gestoppt, was die Leistung beeinträchtigen kann.

Produktinterner Workflow

Verwenden Sie diesen Ausschlusstyp nur auf Aufforderung des Sophos Supports.

Warning

Das Hinzufügen von Ausschlüssen verringert Ihren Schutz vor Exploits.

Für Hilfe bei der Verwendung von Ausschlüssen siehe Sichere Verwendung von Ausschlüssen.

Einschränkung

Die Ereignissammlung ist in globalen Ausschlüssen nicht verfügbar.

Um einen Scan-Ausschluss für Ereignissammlungen zu erstellen, gehen Sie wie folgt vor:

  1. Klicken Sie auf Ausschlüsse hinzufügen.

  2. Verfahren Sie im Dialogfeld Ausschluss hinzufügen wie folgt:

    1. Wählen Sie den Typ des Elements aus, das Sie ausschließen möchten.

      • Datei/Ordner: Sie können eine Datei oder einen Ordner ausschließen. Sie können Platzhalterzeichen verwenden. Beispiele für Platzhalter finden Sie unter Beispiel Wildcards.
      • Prozess: Sie können jeden Prozess einer Anwendung ausschließen. Weitere Informationen zu Ausschlüssen finden Sie unter Ausschlüsse verarbeiten (Windows).

    2. Geben Sie unter Wert die Elemente an, die Sie ausschließen möchten.

    3. Klicken Sie auf Hinzufügen oder Weitere hinzufügen, um weitere Ausschlüsse hinzuzufügen.

  3. Klicken Sie auf Speichern.