Erstellen einer CylancePROTECT Desktop-Testrichtlinie
CylancePROTECT Desktop
-TestrichtlinieSie sollten
CylancePROTECT Desktop
-Richtlinienfunktionen phasenweise implementieren, um sicherzustellen, dass weder die Leistung noch die Vorgänge beeinträchtigt werden. Standardmäßig sind Richtlinienfunktionen beim Erstellen einer Geräterichtlinie nicht aktiviert und müssen daher manuell aktiviert werden. Wenn Sie die Arten von Bedrohungen kennen, die in Ihrer Umgebung protokolliert werden, und wissen, wie sich der CylancePROTECT Desktop
-Agent verhält, können Sie nach und nach weitere Richtlinienfunktionen aktivieren.Es wird empfohlen, Geräterichtlinien auf Geräten zu testen, die die in Ihrem Unternehmen verwendeten Anwendungen enthalten. Es ist wichtig, dass die Geräte, die Sie zum Testen von Geräterichtlinien verwenden, die Geräte in Ihrer Produktionsumgebung möglichst genau widerspiegeln (nicht nur auf einer „sauberen“ Maschine testen), um sicherzustellen, dass Anwendungen ordnungsgemäß ausgeführt werden können, wenn Richtlinien durch den
CylancePROTECT Desktop
-Agenten durchgesetzt werden. Sie können beispielsweise einen Teil der Geräte in Ihrer Produktionsumgebung auswählen, die alle Anwendungen (proprietär und benutzerdefiniert) enthalten, die Benutzer für ihre täglichen Aktivitäten benötigen.Der Agent verwendet nur die Ausführungssteuerung und Prozessüberwachung, um laufende Prozesse zu analysieren. Dies umfasst alle Dateien, die beim Start ausgeführt werden, auf automatische Ausführung eingestellt sind oder manuell vom Benutzer ausgeführt werden. Der Agent sendet nur Warnungen an die Verwaltungskonsole. Standardmäßig werden keine Dateien blockiert oder unter Quarantäne gestellt.
- Klicken Sie in der Verwaltungskonsole aufRichtlinien > Geräterichtlinie > Neue Richtlinie hinzufügen.
- Geben Sie im FeldRichtliniennameeinen Namen für die Testrichtlinie ein.
- Aktivieren SieAutomatisches Hochladen, um verdächtige Dateien zu analysieren und zur weiteren Analyse an dieCylancePROTECT-Cloud-Dienste zu senden.
- Wählen Sie auf der RegisterkarteDateiaktionenim AbschnittAutomatisches Hochladenalle verfügbaren Dateitypen aus.
- Klicken Sie aufErstellen, um die erste Testrichtlinie zu erstellen.
- Weisen Sie die anfängliche TestrichtlinieCylancePROTECT Desktop-Endpunkten zu, die Sie für Tests verwenden.
- Lassen Sie diese Testrichtlinie einen Tag lang auf den zugewiesenen Geräten laufen, um Anwendungen und Prozesse, die normalerweise auf dem Gerät verwendet werden, auszuführen und zu analysieren. Sie sollten zudem erforderliche Anwendungen berücksichtigen, die regelmäßig auf einem Gerät ausgeführt werden (z. B. einmal pro Woche), und die außerhalb dieses Testlaufs überwacht werden müssen.
- Navigieren Sie beim Testen der Richtlinie in der Verwaltungskonsole zum BildschirmSchutz > Bedrohungen, um eine Liste der Anwendungen und Prozesse anzuzeigen, dieCylancePROTECTals Bedrohung betrachtet (anormal oder unsicher), und identifizieren Sie die Anwendungen, die auf dem Endpunkt ausgeführt werden dürfen. Sie können auf eine Bedrohung klicken, um weitere Informationen dazu anzuzeigen, und die schädliche Datei herunterladen, um eine eigene Bedrohungsanalyse durchzuführen. Die schädliche Datei wird nicht verändert, aber mit dem SHA256-Hash ohne Dateierweiterung umbenannt, um eine versehentliche Ausbreitung zu verhindern. Wenn Sie den Dateinamen so ändern, dass er die ursprüngliche Dateierweiterung enthält, wird die schädliche Datei möglicherweise ausgeführt. Es werden keine personenbezogenen Daten an die Konsole oder an andere Mandanten bzw. Unternehmen weitergegeben.
- Navigieren Sie zuRichtlinien > Geräterichtlinieund bearbeiten Sie die Geräterichtlinie, damit bestimmte Anwendungen und Prozesse auf Endpunkten ausgeführt werden können, denen diese Richtlinie zugewiesen ist. Auf der RegisterkarteDateiaktionenkönnen Sie Dateien zum AbschnittRichtlinie „Sichere Liste“hinzufügen.Sie können auch Dateien auf bestimmten Geräten oder auf allen Geräten in Ihrem Unternehmen unter Quarantäne stellen oder ignorieren. Weitere Informationen finden Sie unter Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop.
- Bearbeiten Sie die Geräterichtlinie, damit die Scans zur Erkennung von Bedrohungen im Hintergrund ausführbare Dateien auf der Festplatte analysieren können, bei denen es sich möglicherweise um inaktive Bedrohungen handelt.
- Aktivieren Sie auf der RegisterkarteSchutzeinstellungendie EinstellungBedrohungserkennung im Hintergrund, und wählen Sie die OptionEinmal ausführenaus. Auch wenn regelmäßige Scans aufgrund der Vorhersagefähigkeit der Lösung nicht erforderlich sind, können Sie die OptionWiederholt ausführenauswählen, um sie beispielsweise für Compliance-Zwecke zu aktivieren.
- Aktivieren Sie die EinstellungAuf neue Dateien überwachen. Diese Einstellung kann jedoch die Leistung des Geräts beeinträchtigen. Das Hinzufügen von Ordnerausschlüssen kann dazu beitragen, die Leistungsbeeinträchtigung zu verringern.
- Um bestimmte Ordner von der Bedrohungserkennung im Hintergrund auszuschließen, wählen SieBestimmte Ordner ausschließen (einschließlich Unterordner)aus, und geben Sie die auszuschließenden Ordner an. Um die Ausführung von Dateien in den angegebenen Ordnern zuzulassen, wählen SieAusführung zulassenaus. Weitere Informationen zu diesen Feldern finden Sie unter Schutzeinstellungen.
- Klicken Sie aufSpeichern, um die Richtlinie zu speichern.
- Testen Sie die Richtlinie erneut, und stellen Sie sicher, dass alle Anwendungen, die Benutzer verwenden müssen, ausgeführt werden dürfen. Der Bedrohungsscan im Hintergrund kann bis zu einer Woche dauern, je nachdem, wie stark das System ausgelastet ist und wie viele Dateien analysiert werden müssen. Stellen Sie bei Bedarf sicher, dass Sie Dateien zur Richtlinie „Sichere Liste“ oder zur globalen sicheren Liste hinzufügen oder für einzelne Geräte ignorieren. Sie können in den Schutzeinstellungen auch den Ordner ausschließen, der die Datei enthält.
- Bearbeiten Sie die Geräterichtlinie, um unsichere Prozesse zu beenden, die auf dem System ausgeführt werden. Wenn beispielsweise eine Bedrohung in einer ausführbaren Datei (.exe oder .msi) erkannt wird und diese als unsicher gilt, werden mit dieser Einstellung die laufenden Prozesse und deren Unterprozesse beendet.
- Aktivieren Sie auf der RegisterkarteSchutzeinstellungendie EinstellungUnsichere laufende Prozesse beenden.
- Bearbeiten Sie die Richtlinie, um die Einstellungen für die automatische Quarantäne für unsichere und anormale Dateien zu aktivieren.
- Aktivieren Sie auf der RegisterkarteDateiaktionenunter der TabellenspalteUnsicherdie EinstellungAutomatische QuarantänenebenAusführbare Datei, um unsichere Dateien automatisch in den Quarantäneordner auf dem Gerät zu verschieben. Unsichere Dateien weisen Malware-Merkmale auf und sind wahrscheinlich Malware.
- Aktivieren Sie unterAnormaldie OptionAutomatische Quarantäne, um anormale Dateien automatisch in den Quarantäneordner auf dem Gerät zu verschieben. Anormale Dateien weisen einige Malware-Merkmale auf, aber in geringerem Maße als unsichere Dateien, und sind mit geringerer Wahrscheinlichkeit Malware.
- Bearbeiten Sie die Richtlinie, um die Speicherschutzeinstellungen zu aktivieren und Speicher-Exploits, Prozessinjektionen und Eskalationen zu verarbeiten.
- Aktivieren Sie auf der RegisterkarteSpeicheraktionender Geräterichtlinie denSpeicherschutzund stellen Sie den Verletzungstyp aufWarnungein. Wenn der Verletzungstyp auf „Warnung“ eingestellt ist und eine Bedrohung dieses Typs erkannt wird, sendet der Agent Informationen an die Konsole, blockiert oder beendet jedoch keine Prozesse, die im Gerätespeicher ausgeführt werden.
- Navigieren Sie beim Testen der Richtlinie zum BildschirmSchutz > Speicherschutzin der Konsole, um eine Liste der Speicherschutzwarnungen für Prozesse anzuzeigen, die eine Gefahr darstellen können.
- Wenn Sie festgestellt haben, dass ein Prozess für tägliche Geschäftsaktivitäten sicher ist, können Sie Ausschlüsse für die Prozesse hinzufügen, die ausgeführt werden sollen. Klicken Sie auf der RegisterkarteSpeicheraktionender Geräterichtlinie aufAusschluss hinzufügenund geben Sie den relativen Pfad zur Datei an.
- Nachdem Sie die Ausschlüsse für Prozesse angegeben haben, die ausgeführt werden sollen, legen Sie die Aktion für alle Verletzungstypen aufBlockierenfest. Wenn ein Verletzungstyp blockiert wird, sendet der Agent Informationen an die Konsole und blockiert die Ausführung des schädlichen Prozesses im Speicher. Die Anwendung, die den bösartigen Prozess aufgerufen hat, kann weiterhin ausgeführt werden.
- Bearbeiten Sie die Richtlinie, um die Einstellungen der Gerätesteuerung zu aktivieren. In diesem Beispiel wird gezeigt, wie der Zugriff auf alle Gerätetypen gesperrt und die Ausnahmen zugelassen werden. Sie können aber auch den vollen Zugriff auf alle Gerätetypen zulassen und stattdessen die Ausnahmen blockieren.
- Aktivieren Sie auf der RegisterkarteGerätesteuerungder Geräterichtlinie die RichtlinieGerätesteuerung.
- Stellen Sie die Zugriffsebene für jeden USB-Gerätetyp aufVollzugriffein.
- Speichern Sie die Richtlinie.
- Schließen Sie ein USB-Gerät an das Testgerät an.
- Navigieren Sie in der Verwaltungskonsole zuSchutz > Externe Geräteund geben Sie die Anbieter-ID, die Produkt-ID und die Seriennummer aller Geräte an, die Sie zulassen möchten. Nicht alle Hersteller verwenden eine eindeutige Seriennummer für ihre Produkte; einige Hersteller verwenden die gleiche Seriennummer für mehrere Produkte.
- Klicken Sie auf der RegisterkarteGerätesteuerungder Geräterichtlinie im AbschnittAusschlussliste für externen SpeicheraufGerät hinzufügen, um Geräte hinzuzufügen, die Sie zulassen möchten.
- Stellen Sie nach Abschluss des Tests die Zugriffsebene für jeden Gerätetyp aufBlockieren. Sie können nach Bedarf Ausschlüsse hinzufügen.
- Bearbeiten Sie die Richtlinie, um die Skriptsteuerungseinstellungen zu aktivieren. Die empfohlene Testdauer beträgt 1 bis 3 Wochen.
- Aktivieren Sie auf der RegisterkarteSkriptsteuerungder Geräterichtlinie die RichtlinieSkriptsteuerung.
- Stellen Sie die Richtlinie für jeden der Skripttypen aufWarnungein. Je länger die Skriptsteuerung auf Warnung eingestellt ist, desto wahrscheinlicher ist es, dass Sie selten ausgeführte in der Organisation verwendete Skripte finden.Die Aktivierung der Skriptsteuerungseinstellung kann zu einer hohen Anzahl von Ereignissen führen, wenn Skripte zur Verwaltung vonActive Directory-Einstellungen verwendet werden.
- Navigieren Sie zuSchutz > Skriptsteuerungund identifizieren Sie die Skripte, die auf Geräten ausgeführt wurden, die Sie zulassen möchten.
- Klicken Sie auf der RegisterkarteSkriptsteuerungder Geräterichtlinie im AbschnittDateien, Skripte oder Prozesse ausschließenaufAusschluss hinzufügenund geben Sie einen relativen Prozesspfad der Skripte an, die Sie zulassen möchten (z. B.\Cases\AllowedScripts).
- Nachdem Sie die Ausschlüsse für Skripte hinzugefügt haben, die Sie ausführen lassen möchten, können Sie die Richtlinie für jeden der Skripttypen aufBlockierensetzen.