Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/enterprise/help/de-de/index.html?contextId=server-threat-protection-InterceptX-Advanced

Server Threat Protection: Intercept X Advanced

Wenn Sie eine Lizenz „Intercept X Advanced for Server“ verwenden, enthält Ihre Threat-Protection-Richtlinie zusätzliche Optionen zu den standardmäßig vorhandenen Server-Protection-Optionen.

Laufzeitschutz

Sie müssen dem Early Access Program beitreten, um bestimmte Optionen verwenden zu können.

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr auf Endpoint-Computern erkannt wird.

  • Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen. Sie können wählen, welche Aktion Sie ergreifen möchten, wenn Ransomware erkannt wird. Sie können alle laufenden Ransomware-Prozesse beenden, oder Sie können verhindern, dass Ransomware-Prozesse in das Dateisystem schreiben, indem Sie sie isolieren.
  • Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.
  • Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.
  • Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

  • Erweiterte Einstellungen für die Exploit-Mitigation:

    • Zugangsdatendiebstahl verhindern: Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
    • Rückgriff auf Code-Cave verhindern: Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
    • APC-Verstoß verhindern: Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
    • Rechteausweitung verhindern: Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen. Wir empfehlen, diese Einstellungen zu testen, bevor Sie die Richtlinie auf Ihre Server anwenden.

  • Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können Folgendes machen:

    • Schutz vor Angriffen in Form von Prozessaustausch (Prozessaushöhlung).
    • Schutz vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.

  • Nachverfolgung der CPU-Verzweigungen aktivieren: Die Erkennung von CPU-Schadcode ist eine Funktion von Intel-Prozessoren, mit der zur Erkennung des Schadcodes die Prozessoraktivität verfolgt werden kann. Wir unterstützen es auf Intel-Prozessoren mit den folgenden Architekturen: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, und Kaby Lake.

    Wir unterstützen es nicht, wenn sich auf dem Computer ein (legitimer) Hypervisor befindet.

  • Dynamischer Shellcode-Schutz. Erkennt das Verhalten verdeckter Remote Access Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

  • CTF Protocol Caller validieren. Fängt Anwendungen ab, die versuchen, CTF auszunutzen, und blockiert sie.

    Eine Sicherheitsanfälligkeit in einer Windows-Komponente, die nur als „CTF“ bekannt ist und in allen Versionen von Windows XP verfügbar ist, ermöglicht es einem nicht administrativen, nicht autorisierten Angreifer, jeden Windows-Prozess einschließlich Anwendungen, die in einer Sandbox ausgeführt werden, zu kompromittieren.

  • Side-Loading unsicherer Module verhindern. Verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet Stub-DLL ausgibt, durch eine Anwendung.

    ApiSet Stub DLLs sind DLLs, die als Proxy dienen, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet Stub-DLLs platzieren, um diese Funktion zu manipulieren, oder den Manipulationsschutz umgehen und den Malware-Schutz beenden.

  • Für die MFA-Anmeldung verwendete Browser-Cookies schützen. Verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln können, der zur Verschlüsselung von MFA-Cookies (Multi-Faktor-Authentifizierung) verwendet wird.

  • Linux-Laufzeit-Erkennungen: Bietet Ihnen Transparenz sowie Bedrohungserkennungen während der Laufzeit für Linux-Server-Workloads und -Container. Sie können diese Warnungen im Bedrohungsanalyse-Center in Sophos Central Admin verwalten.

    Sie benötigen eine Lizenz für Intercept X Advanced for Server with XDR oder Server MTR, um diese Option zu verwenden.

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Beseitigung

  • Bedrohungsgraph-Erstellung aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.