Ereignisse der Anwendungskontrolle

Abrufen der Statistik konfigurieren

So aktivieren Sie das Senden von Informationen von Workstations für den Bereich Ereignisse der Anwendungskontrolle

1.Wählen Sie in der heuristischen Struktur unter Antivirus-Netzwerk Workstations oder Gruppen von Workstations aus, auf denen die Anwendungskontrolle installiert ist und von denen Informationen zum Start von Anwendungen gesendet werden sollen.

2.Wählen Sie im Verwaltungsmenü den Punkt Windows → Dr.Web Agent aus.

3.Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Ereignisse der Anwendungskontrolle überwachen, damit die durch die Anwendungskontrolle registrierten Aktivitäten der Prozesse überwacht werden und die Informationen zu den Ereignissen an den Dr.Web Server gesendet werden. Wenn es keine Verbindung mit dem Dr.Web besteht, werden die Ereignisse nur gesammelt. Wenn die Serververbindung wieder aktiv ist, werden die gesammelten Ereignisse an den Dr.Web Server gesendet. Beim deaktivierten Kontrollkästchen werden die Aktivitäten ignoriert.

4.Klicken Sie auf Speichern.

So aktivieren Sie die Erfassung von Informationen für den Bereich „Ereignisse der Anwendungskontrolle“ durch den Dr.Web Server

1.Wechseln Sie im Bereich Administration → Dr.Web Server-Konfiguration zur Registerkarte Statistik.

2.Aktivieren Sie eine der folgenden Optionen:

Statistik der Anwendungskontrolle über Prozessaktivitäten. Aktivieren Sie diese Option, damit Informationen zu jeder Aktivität von Prozessen gesendet und aufgezeichnet werden – egal, ob es sich um durch die Anwendungskontrolle zugelassene oder gesperrte Prozesse handelt. Diese Option bewirkt, dass Anwendungen in die Anwendungsliste nur aufgenommen werden, wenn mindestens ein Profil mit einer oder mehreren ausgewählten Kategorien der Kriterien der funktionalen Analyse erstellt und zugewiesen wurde.
Alle Anwendungen können gestartet werden, bis Sie entsprechende Profile erstellen und sie den Workstations des Antivirus-Netzwerks zuweisen.

Statistik der Anwendungskontrolle über Prozesssperrungen. Aktivieren Sie diese Option, damit Informationen zu den Aktivitäten aller durch die Anwendungskontrolle gesperrten Prozesse gesendet und aufgezeichnet werden. Diese Option bewirkt, dass Anwendungen in die Anwendungsliste erst aufgenommen werden, nachdem Profile erstellt wurden, deren Einstellungen den Start der Anwendungen verhindern, und nachdem diese Profile den Workstations des Antivirus-Netzwerks zugewiesen wurden.

Die Aktivierung der Option Statistik der Anwendungskontrolle über Prozessaktivitäten kann die Erfassung der Statistik zum gesamten Antivirus-Netzwerk etwas verlangsamen, da der Vorgang dadurch wesentlich mehr Rechnerressourcen beansprucht.

3.Klicken Sie auf die Schaltfläche Speichern.

4.Starten Sie den Dr.Web Server neu.

5.Nach dem Neustart erfasst der Dr.Web Server die gesamte Statistik zum Start von Anwendungen, die von allen Workstations mit der installierten Anwendungskontrolle gesendet wird.

Statistik anzeigen

So zeigen Sie die Ereignisse an, die auf den Workstations durch die Anwendungskontrolle registriert wurden

1.Wählen Sie in der hierarchischen Liste die gewünschte Workstation oder Gruppe aus.

2.Wählen Sie im Verwaltungsmenü im Bereich Statistik den Punkt Ereignisse der Anwendungskontrolle.

3.Das Fenster mit der Liste von Anwendungen, die auf den ausgewählten Workstations gesperrt oder zugelassen wurden, erscheint.

4.Die Statistik wird standardmäßig für die letzten 24 Stunden angezeigt. Um die Anzeige auf einen bestimmten Zeitraum zu beschränken, wählen Sie in der Dropdown-Liste den anzuzeigenden Zeitraum mit dem aktuellen Tag als Zeitbasis aus, oder geben Sie auf der Symbolleiste einen beliebigen Zeitraum an. Im letzteren Fall müssen Sie die gewünschten Daten manuell eingeben oder auf das Kalendersymbol neben den Datumsfeldern klicken. Klicken Sie zur Anzeige der relevanten Daten auf Aktualisieren. Im Fenster wird eine Statistiktabelle angezeigt. Die Erläuterung zu den Tabellenspalten finden Sie unten.

Erläuterung zu Tabellenspalten: Ereignisse der Anwendungskontrolle

Spaltenname

Beschreibung

ID

Workstation-ID

Workstation

Name der Workstation

Adresse der Workstation

Adresse der Workstation

Sicherheits-ID

Sicherheits-ID des Benutzerkontos

Benutzer

Benutzer der Workstation

Ereignistyp

Typ des auf der Workstation erkannten Ereignisses

Ausgeführte Aktion

Aktion an der auf der Workstation gestarteten Anwendung

Kriterium der funktionalen Analyse

Kriterium, anhand dessen eine Anwendung zugelassen oder gesperrt wird

Maske der funktionalen Analyse

Parameter des Kriteriums der funktionalen Analyse. Der Parameter bestimmt, ob die Anwendung auf der Workstation ausgeführt werden darf

Profil-ID

ID des Profils

Profilname

Profilname

Regel-ID

ID der Regel

Regelname

Regelname

Betriebsmodus

Betriebsmodus der Regel

Pfad zur Prozessdatei

Speicherort der Prozessdatei

Prozess

Prozess, dessen Ausführung auf der Workstation zugelassen oder verboten ist

Bulletin mit dem Prozess-Hash

Bulletin, das den Hash-Wert des gestarteten Prozesses enthält

Pfad zur Skriptdatei

Speicherort der Skriptdatei

Skript

Skriptdatei

Bulletin mit dem Skript-Hash

Bulletin, das den Hash-Wert des gestarteten Skriptes enthält

Ereigniszeit

Datum und Zeit des Ereignisses

Ereignisbenachrichtigung

Datum und Zeit der Benachrichtigung über das Ereignis

Datei-Hash (SHA-256)

Hash-Wert der Datei (SHA-256)

Dateibeschreibung

Dateibeschreibung

Herausgeber

Herausgeber der Datei

Zertifikat-Aussteller

Zertifizierungsstelle, die das Zertifikat ausgestellt hat

Zertifikat-Hash (SHA-1)

Hash-Wert des Zertifikats (SHA-1)

Zertifikat-Startdatum

Zertifikat-Startdatum

Zertifikat-Ablaufdatum

Zertifikat-Ablaufdatum

5.Um die Tabelle auszudrucken oder später zu bearbeiten, klicken Sie eine der folgenden Schaltflächen an:

Daten als CSV-Datei speichern.

Daten als HTML-Datei speichern.

Daten als XML-Datei speichern.

Daten als PDF-Datei speichern.

Wenn ein Profil oder eine Regel im Testmodus vorliegt, werden die auf den Workstations gestarteten Anwendungen umfassend entsprechend der Funktionsweise der Anwendungskontrolle von Anfang bis Ende überprüft. In der Statistik werden alle Übereinstimmungen der Anwendung mit allen möglichen Kriterien erfasst: Einstellungen der funktionalen Analyse, Regeln und Gruppe von vertrauenswürdigen Anwendungen. Eine Anwendung kann daher mehrere Einträge in der Spalte Ausgeführte Aktion enthalten, in der angegeben wird, dass sie nach einem Kriterium zugelassen wurde und/oder nach einem anderen Kriterium gesperrt wurde.

Regeln erstellen

So erstellen Sie eine neue Regel anhand der Statistik zu den Ereignissen der Anwendungskontrolle

1.Wählen Sie im Bereich Statistik → Ereignisse der Anwendungskontrolle die Zeile mit dem Ereignis im Zusammenhang mit dem Startversuch der Anwendung, für die Sie die Startregel erstellen wollen.

2.Beim Anklicken der Zeile der Tabelle erscheint ein Fenster mit Informationen zum ausgewählten Ereignis.

3.Klicken Sie auf die Schaltfläche Regel erstellen.

4.Legen Sie im angezeigten Dialog für die Regelerstellung die folgenden Einstellungen fest:

a)Wählen Sie über die Dropdown-Liste Profilname das Profil der Anwendungskontrolle aus, in dem die Regel erstellt werden soll.

b)Geben Sie im Feld Regelname einen Namen für die Regel an.

c)Im Bereich Regeltyp legen Sie den Typ der neuen Regel fest. Sie können zwischen zwei Typen auswählen: Verbietend oder Erlaubend.

d)Legen Sie mit der Option Betriebsmodus den Modus für die neue Regel fest (die Option ist identisch mit dem Kontrollkästchen Regel in den Testmodus versetzen, das bei der Regelerstellung über das Profil verfügbar ist):
Wollen Sie die Regel zunächst testen, wählen Sie die Option Test aus. Die Anwendungen werden zwar nicht gesperrt, doch das Aktivitätsprotokoll wird geführt, als ob die Einstellungen wirksam wären. Die Ergebnisse eventueller Anwendungsstarts und Anwendungssperrungen im Testmodus der Regel werden im Bereich Ereignisse der Anwendungskontrolle angezeigt.
Bei Auswahl der Option Aktiv wird der aktive Modus für die Regel verwendet: Die Anwendungen werden entsprechend den festgelegten Einstellungen der Regel gesperrt (lesen Sie auch Informationen über die Funktionsmodi für Profile).

e)Die Felder im Bereich Ausführen von Anwendungen nach folgenden Kriterien verbieten/Ausführen von Anwendungen nach folgenden Kriterien zulassen (je nachdem, welcher Regeltyp im Schritt 4c ausgewählt wurde) werden automatisch anhand der Informationen von der Anwendung ausgefüllt, auf deren Grundlage die Regel erstellt wird. Falls gewünscht, können Sie die Einstellungen individuell anpassen.

5.Klicken Sie auf Speichern. Die Regel wird im angegebenen Profil der Anwendungskontrolle erstellt.