Zum Inhalt

Endpoint: Schutz vor Bedrohungen

Threat Protection schützt Sie vor Malware, riskanten Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Die SophosLabs können selbst bestimmen, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Für weitere Informationen, wie wir Bedrohungen bewerten, siehe Sophos Threat Center.

Empfohlene Einstellungen verwenden

Warnung

Wägen Sie sorgfältig ab, ob Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Klicken Sie auf Empfohlene Einstellungen verwenden verwenden, wenn Sie die von Sophos empfohlenen Einstellungen verwenden möchten. Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen.

Wenn wir unsere Empfehlungen ändern, werden wir Ihre Richtlinie automatisch mit den neuen Einstellungen aktualisieren.

Die empfohlenen Einstellungen bieten:

  • Erkennung bekannter Malware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Malware, die Sophos bekannt ist.
  • Proaktive Erkennung von Malware, die zum ersten Mal erkannt wird.
  • Automatische Bereinigung von Malware.

Threat Protection einrichten

In diesem Video erklären wir, wie Sie eine Threat-Protection-Richtlinie einrichten und sprechen Empfehlungen zu Best Practices aus.

Deep Learning

Deep Learning nutzt fortschrittliches maschinelles Lernen für die Erkennung von Bedrohungen. Dabei werden bekannte und noch unbekannte Malware und potenziell unerwünschte Anwendungen ohne Rückgriff auf Signaturen identifiziert.

Deep Learning ist nur bei Sophos Intercept X verfügbar.

Live-Schutz

Verdächtige Dateien werden durch Abgleich mit aktuellen Malware-Daten in der SophosLabs-Datenbank überprüft.

Sie können folgende Optionen wählen:

Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen: Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Beim Echtzeit-Scan werden Dateien gescannt, wenn Benutzer versuchen, auf sie zuzugreifen. Der Zugriff wird erlaubt, wenn die Datei sauber ist.

Standardmäßig werden lokale Dateien überprüft. Sie können auch Remote-Dateien auswählen, um Dateien in Netzwerkfreigaben zu scannen.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während der Benutzer auf diese zugreifen. Sie können folgende Optionen wählen:

Laufende Downloads scannen

Zugriff auf schädliche Websites blockieren: Der Zugriff auf Websites, die bekannt dafür sind, dass sie Malware hosten, wird verweigert.

Nach Dateien mit geringer Reputation suchen: Der Endbenutzer wird gewarnt, wenn ein Download eine niedrige Reputation aufweist. Die Reputation wird anhand der Quelle der Datei, der Download-Häufigkeit und weiterer Faktoren ermittelt.

Sie können festlegen:

  • Aktion bei Downloads mit niedriger Reputation: Wenn Sie Benutzer auffordern wählen, wird den Benutzern eine Warnmeldung angezeigt, wenn sie eine Datei mit niedriger Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.

  • Reputationsstufe: Wenn Sie Strikt wählen, werden auch Dateien mit mittlerer oder niedriger Reputation erkannt. Die Standardeinstellung ist Empfohlen.

Siehe Download-Reputation.

Beseitigung

Für die Behebung stehen folgende Optionen zur Verfügung:

  • Malware automatisch entfernen: Sophos Central versucht, gefundene Malware automatisch zu entfernen.

    Wenn die automatische Bereinigung erfolgreich war, wird der Alarm zur erkannten Malware aus der Liste der Alarme entfernt. Die Erkennung und Entfernung der Malware wird in der Liste der Ereignisse angezeigt.

    Hinweis

    Wir bereinigen immer PE (Portable Executable) Dateien wie Anwendungen, Bibliotheken und Systemdateien, auch wenn Sie die automatische Bereinigung deaktivieren. PE-Dateien werden isoliert und können wiederhergestellt werden.

  • Bedrohungsgraph-Erstellung aktivieren: Bedrohungsfälle lassen Sie eine Kette von Ereignissen, die eine Malware-Infektion betreffen, untersuchen, und Bereiche identifizieren, in denen Sie die Sicherheit verbessern können.

Laufzeitschutz

Sie müssen dem Early Access Program beitreten, um bestimmte Optionen verwenden zu können.

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird. Sie können folgende Optionen auswählen:

  • Dokumente vor Ransomware schützen (CryptoGuard): Hiermit werden Dokumentdateien vor Malware geschützt, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Sie können auch 64-Bit-Computer vor Ransomware, die von einem Remote-Standort ausgeführt wird, schützen.

    • Vor Encrypting File System-Angriffen schützen: Dies schützt den Computer vor Ransomware, die das Dateisystem verschlüsselt. Wählen Sie aus, welche Aktion Sie ergreifen möchten, wenn die Ransomware erkannt wird. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, in das Dateisystem zu schreiben.
  • Schutz vor Master Boot Record-Ransomware: Hiermit wird der Computer vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), und vor Angriffen, bei denen die Festplatte gelöscht wird, geschützt.

  • Kritische Funktionen in Webbrowsern schützen (sicheres Surfen): Hiermit werden Ihre Browser vor Exploits durch Malware geschützt.
  • Exploits in Anwendungen mit Sicherheitslücken abschwächen: Hiermit werden Anwendungen geschützt, die besonders anfällig für Malware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.
  • Prozesse schützen: Hiermit wird der Missbrauch legitimer Anwendungen durch Malware verhindert. Sie können folgende Optionen wählen:

    • Process Hollowing Angriffe verhindern. Dies schützt vor Prozessaustausch-Angriffen.
    • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern. Dies schützt vor einem Laden von .DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.
    • Zugangsdatendiebstahl verhindern. Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
    • Rückgriff auf Code-Cave verhindern. Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
    • APC-Verstoß verhindern. Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
    • Rechteausweitung verhindern. Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.
  • Dynamischer Shellcode-Schutz. Erkennt das Verhalten verdeckter Remote Access Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

  • CTF Protocol Caller validieren. Fängt Anwendungen ab, die versuchen, CTF auszunutzen, und blockiert sie.

    Eine Sicherheitsanfälligkeit in einer Windows-Komponente, die nur als „CTF“ bekannt ist und in allen Versionen von Windows XP verfügbar ist, ermöglicht es einem nicht administrativen, nicht autorisierten Angreifer, jeden Windows-Prozess einschließlich Anwendungen, die in einer Sandbox ausgeführt werden, zu kompromittieren.

  • Side-Loading unsicherer Module verhindern. Verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet Stub-DLL ausgibt, durch eine Anwendung.

    ApiSet Stub DLLs sind DLLs, die als Proxy dienen, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet Stub-DLLs platzieren, um diese Funktion zu manipulieren, oder den Manipulationsschutz umgehen und den Malware-Schutz beenden.

  • Für die MFA-Anmeldung verwendete Browser-Cookies schützen. Verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln können, der zur Verschlüsselung von MFA-Cookies (mehrstufige Authentifizierung) verwendet wird.

  • Netzwerkdatenverkehr schützen. Sie können folgende Optionen wählen:

    • Verbindungen zu schädlichen Command-and-Control-Servern erkennen. Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
    • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern. Dabei wird Datenverkehr auf niedrigster Ebene überprüft und Bedrohungen werden blockiert, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.
  • Erkennung schädlichen Verhaltens: Diese Option schützt Sie gegen Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

  • AMSI-Schutz (mit erweitertem Scan nach skriptbasierten Bedrohungen): Diese Option schützt über die Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts). Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Sophos benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert. Sie können das Entfernen der AMSI-Registrierung auf Ihren Computern verhindern. Siehe Antimalware Scan Interface (AMSI).

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen, diese Einstellungen auf den Standardwerten zu belassen.

SSL/TLS-Entschlüsselung von HTTPS-Websites

Wenn Sie Websites mit SSL/TLS entschlüsseln auswählen, entschlüsseln wir den Inhalt von HTTPS-Websites und prüfen diesen auf Bedrohungen auf den Computern Ihrer Kunden.

Wenn wir eine riskante Website entschlüsseln, blockieren wir diese. Der Benutzer wird hierüber benachrichtigt und kann die Website zur weiteren Prüfung an die SophosLabs senden.

Die Entschlüsselung ist standardmäßig deaktiviert.

Hinweis

Wenn in der Threat-Protection-Richtlinie Entschlüsselung für ein Gerät eingeschaltet ist, wird diese auf dem Gerät auch für die Web-Control-Richtlinienüberprüfung verwendet.

Wenn Sie sich dafür entscheiden, können Ihre Kunden keine Änderungen vornehmen.

Hinweis

Wenn Ihre Kunden am EAP „Neue Funktionen von Endpoint Protection“ teilnehmen, können sie die Entschlüsselung für HTTPS-Websites ein- oder ausschalten. Sie können Änderungen an den von Ihnen gewählten Einstellungen vornehmen.

Geräte-Isolation

Wenn Sie diese Option auswählen, isolieren sich Geräte selbst von Ihrem Netzwerk, wenn ihr Systemzustand rot ist. Der Systemzustand eines Geräts ist rot, wenn Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist.

Sie können isolierte Geräte weiterhin von Sophos Central aus verwalten. Sie können auch Scan-Ausschlüsse oder globale Ausschlüsse verwenden, um zur Fehlerbehebung eingeschränkten Zugriff auf diese Computer zu gewähren.

Sie können diese Geräte nicht aus der Isolation entfernen. Sie können wieder mit dem Netzwerk kommunizieren, sobald ihr Systemzustand wieder grün ist.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.

    Hinweis

    Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).

  • Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich der Scanvorgang eventuell erheblich verlangsamt.

Ausschlüsse

Sie können Dateien, Ordner, Websites und Anwendungen von der Überprüfung auf Bedrohungen ausschließen, wie unten beschrieben.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden (mit einem Ausschluss für Erkannte Exploits).

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer verwendet, für die die Richtlinie gilt.

Hinweis

Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, richten Sie globale Ausschlüsse auf der Seite Globale Einstellungen > Globale Ausschlüsse ein.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Computer-Isolation).

  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen möchten.
  4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll.
  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Sie können eine Nachricht hinzufügen, die an das Ende der Standard-Benachrichtigung angehängt wird. Wenn Sie das Nachrichtenfeld leer lassen, wird nur die Standardnachricht angezeigt.

Desktop-Benachrichtigungen für Threat Protection aktivieren ist standardmäßig aktiviert. Wenn Sie die Option deaktivieren, werden keine Nachrichten in Bezug auf Threat Protection angezeigt.

Geben Sie den Text ein, den Sie hinzufügen möchten.