IoC-Untersuchungseinstellungen konfigurieren

Bei der Konfiguration regelmäßiger Untersuchungen auf Bedrohungen der Geräte können Sie folgende Untersuchungseinstellungen angeben: Zeitplan, Untersuchungsbereich und Art der automatische Reaktion.

So geben Sie die Einstellungen einer IoC-Untersuchung an:

  1. Öffnen Sie die Management-Konsole von Kaspersky Endpoint Security Cloud.
  2. Wählen Sie den Abschnitt Sicherheitsverwaltung → Endpoint Detection and Response aus.
  3. Klicken Sie auf die Schaltfläche IoC-Untersuchung.
  4. Zeigen Sie oben rechts auf der Kachel des erforderlichen Scans auf die drei vertikalen Punkte und klicken Sie anschließend auf Untersuchungseinstellungen festlegen.

    Das Fenster Untersuchungseinstellungen wird geöffnet.

  5. Wählen Sie in der Liste Zeitplan den gewünschten Wert aus:
    • Nicht angegeben (standardmäßig)

      Die IoC-Untersuchung wird nie ausgeführt.

    • Täglich

      Geben Sie die Uhrzeit an, zu der die IoC-Untersuchung ausgeführt werden soll.

    • Wöchentlich

      Geben Sie den Wochentag und die Uhrzeit an, zu der die IoC-Untersuchung ausgeführt werden soll.

    Die Benutzerdefinierte Untersuchung wird zur festgelegten Zeit in der Zeitzone UTC±00:00 ausgeführt. Die Proaktive Untersuchung und die Reaktive Untersuchung werden zur angegebenen Zeit in der Zeitzone des Betriebssytems des Geräts ausgeführt. Wenn ein geschütztes Gerät zum geplanten Zeitpunkt offline ist, wird die Aufgabe gestartet, sobald das Gerät wieder online ist.

  6. Klicken Sie unter Untersuchungsbereich auf den Link Bearbeiten, um die Liste der Geräte anzugeben, auf denen die IoC-Untersuchung ausgeführt werden soll.

    Aktivieren bzw. deaktivieren Sie die Kontrollkästchen neben den einzuschließenden bzw. auszuschließenden Geräten. Klicken Sie auf Speichern, um die Änderungen zu speichern.

    Diese Einstellung ist nur für die Benutzerdefinierte Untersuchung verfügbar. Für die anderen Untersuchungen (Proaktive Untersuchung und Reaktive Untersuchung) umfasst der Untersuchungsbereich alle Windows-Geräte Ihrer Benutzer. Er kann nicht geändert werden.

    Alle zukünftig neu hinzugefügte Geräte werden automatisch in den Untersuchungsbereich aufgenommen. Wenn Sie diese vom Untersuchungsbereich der benutzerdefinierten Untersuchung ausschließen möchten, müssen Sie dies manuell tun.

  7. Wählen Sie unter Reaktionsmaßnahmen die Reaktionsmaßnahmen aus, die ausgeführt werden sollen, wenn die angegebenen Bedrohungen erkannt werden:
    • Nur Alarm auslösen

      Das Ereignis über die Erkennung der Bedrohung wird dem Ereignisprotokoll hinzugefügt. Es werden keine weiteren Aktionen ausgeführt.

    • Alarm auslösen und reagieren

      Das Ereignis über die Erkennung der Bedrohung wird dem Ereignisprotokoll hinzugefügt. Zusätzlich werden die ausgewählten Aktionen als Reaktion ausgeführt:

      • Untersuchung kritischer Bereiche durchführen

        Kaspersky Endpoint Security für Windows untersucht den Kernelspeicher, die laufenden Prozesse und die Bootsektoren eines betroffenen Geräts.

      • Kopie des Objekts in Quarantäne verschieben und Objekt löschen

        Kaspersky Endpoint Security für Windows erstellt zunächst für den Fall, dass das Objekt später wiederhergestellt werden muss, eine Backup-Kopie des auf dem Gerät gefundenen schädlichen Objekts. Die Backup-Kopie wird in die Quarantäne verschoben. Anschließend löscht Kaspersky Endpoint Security für Windows das Objekt.

      • Gerät vom Netzwerk isolieren

        Kaspersky Endpoint Security für Windows isoliert das Gerät vom Netzwerk, um die Ausbreitung der Bedrohung oder die Verletzung vertraulicher Informationen zu verhindern. Um die Isolationsdauer zu konfigurieren, klicken Sie auf Einstellungen und wählen Sie anschließend den erforderlichen Wert aus.

        Die Isolationsdauer ist für alle drei IoC-Untersuchungen gleich. Wenn Sie den Wert in den Einstellungen einer Untersuchung ändern, wird er auf andere Untersuchungen übertragen.
        Alternativ können Sie die Isolationsdauer konfigurieren, indem Sie den Abschnitt Sicherheitsverwaltung → Endpoint Detection and Response auswählen und anschließend auf Reaktionseinstellungen → Netzwerkisolation klicken.

  8. Klicken Sie auf Speichern, um die Änderungen zu speichern.

Die Einstellungen des ausgewählten IoC-Untersuchungen sind festgelegt.

Nach oben