Business Security Test 2021 (März – Juni)

Vorteile

• Verfügt über Datensicherung, Notfallwiederherstellung, Schwachstellenbewertung, Patch-Management und sichere Dateisynchronisierung
• Gut geeignet für kleinere Unternehmen
• Die Konsole ist leicht zu navigieren
• Die Seiten der Konsole können individuell angepasst werden
• Geografisches Bedrohungsdaten-Feature

Über das Produkt

Die Acronis Cyber Cloud-Plattform bietet Endpoint-Protection Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt enthält eine Reihe weiterer Cloud-basierter Dienste, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. In diesem Bericht werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Arbeitsplätzen verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist.

Management Console

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Es gibt Einträge für Dashboard, Devices, Plans, Anti-Malware Protection, Software Management, Backup Storage, Reports, und Settings.

Dashboard\Overview Seite

Wenn Sie sich zum ersten Mal bei der Konsole anmelden, sehen sie als erstes die Seite wie oben abgebildet. Sie bietet einen grafischen Überblick über den Security- und Backup-Status des Netzwerks, wobei farbige Doughnut- und Balkendiagramme verwendet werden. Es gibt Panels für Protection status, Active alerts summary, Activities, Patch installation status, Missing updates by categories, und Disk health status. Eine Leiste am oberen Rand zeigt die folgenden Elemente Backed up today, Malware blocked, Malicious URLs blocked, Existing vulnerabilities und Patches ready to installangezeigt. Details zu den letzten Warnhinweisen und anderen Elementen werden in weiteren Feldern am unteren Rand angezeigt. Sie können die Seite individuell anpassen, indem Sie die Dateneinstellungen für jedes Feld ändern oder Felder hinzufügen/entfernen.

Dashboard\Alerts Seite

Hier können Sie Warnungen zur Malware-Erkennung, zu blockierten URLs und zu den Backup-Funktionen sehen. Diese können als Liste oder als große Kacheln mit Details (wie oben gezeigt) angezeigt werden. Die Informationen zu Malware-Erkennungen umfassen das Gerät, die Schutzrichtlinie, den Dateinamen und -pfad, die Dateihashes, den Namen der Bedrohung und die ergriffene Maßnahme (z.B. Quarantäne). Durch klicken auf Clear, wird der Eintrag aus der Alerts Seite aber nicht aus den Systemprotokollen entfernt.

Dashboard/Threat feed Seite

Die Seite Threat feed zeigt Warnhinweise zu aktuellen Angriffen und Sicherheitslücken an, auf die Sie achten sollten. Acronis teilt uns mit, dass diese Liste auf den aktuellen geografischen Standort zugeschnitten ist, so dass nur Warnungen angezeigt werden, die für Sie relevant sind. Die Seite warnt Sie gegebenenfalls sogar vor Naturkatastrophen. Wenn Sie auf das Pfeilsymbol am Ende eines Bedrohungseintrags klicken, wird eine Liste mit empfohlenen Maßnahmen zur Bekämpfung der jeweiligen Bedrohung angezeigt. Diese können darin bestehen, einen Malware-Scan durchzuführen, ein Programm zu patchen oder ein Backup Ihres PCs oder Ihrer Daten zu erstellen.

Devices Seite

Die Seite Devices\All devices listet die Computer im Netzwerk auf. Über Unterseiten können Sie die Ansicht filtern, z. B. nach verwalteten und nicht verwalteten Rechnern. Sie können u. a. Gerätetyp und -name, Benutzerkonto und Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z. B. IP-Adresse und Betriebssystem hinzufügen können. Die Geräte können als Liste oder als große Kacheln mit zusätzlichen Details angezeigt werden. Wenn Sie ein oder mehrere Geräte auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie anzeigen, Patches anwenden, Maschinendetails/Protokolle/Alarme anzeigen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Plans Seite

Unter Plans/Protectionkönnen Sie die Richtlinien anzeigen, erstellen und bearbeiten, die die Anti-Malware Funktionen der Plattform steuern. Wenn Sie auf ein Symbol klicken, öffnet sich auf der rechten Seite ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen. Zu den Funktionen, die konfiguriert werden können, gehören Echtzeitschutz, Schutz von Netzwerkordnern, Maßnahmen bei der Entdeckung von Malware, Ransomware, Erkennung von Krypto-Mining-Prozessen, zeitgesteuertes Scannen, Ausnahmen, URL-Filterung und die Dauer der Quarantäne von Elementen. Sie können Schwachstellenbewertungen und Patch-Management konfigurieren, und es gibt sogar Steuerelemente für das Scannen mit Microsoft Windows Defender/Security Essentials.

Anti-Malware Protection\Quarantine Seite

Unter Anti Malware Protection listet die Seite Quarantine die Namen der erkannten bösartigen Dateien zusammen mit dem Datum der Quarantäne und dem Gerätenamen auf. Sie können in den Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente wiederherstellen oder löschen.

Anti-Malware Protection\Whitelist Seite

Die Whitelist Seite zeigt alle Anwendungen an, die beim Backup-Scanning gefunden und als sicher eingestuft wurden. Um die automatische Erstellung einer Whitelist zu aktivieren, muss der Backup-Scan geplant werden.

Software Management Seiten

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Reports Seite

Die Seite Reports listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Ein Klick auf einen Berichtsnamen öffnet eine Detailseite für dieses Element. Die Berichtsseite Alerts enthält beispielsweise die Bereiche 5 latest alerts, Active alerts summary, Historical alerts summary, Active alerts details, und Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole können die Spalten in diesen Bereichen individuell angepasst werden.

Settings Seiten

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Funktion Remote Connection aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren. Wenn auf einem Gerät ein veralteter Agent läuft, wird im Menüfeld der Konsole unter Settings eine Warnung angezeigt. Dies macht deutlich, dass Sie Maßnahmen ergreifen müssen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe-Format können auf der Devices Seite durch klicken auf die Add Schaltfläche heruntergeladen werden. Es gibt separate Installationsprogramme für Windows-Clients und Windows-Server. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, wenn Sie ein Relais-Gerät in Ihrem LAN einrichten. Durch manuelles Ausführen des .exe-Installationsprogramms können Sie auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nachdem Sie eine lokale Installation auf einem Client-PC durchgeführt haben, müssen Sie auf Register the machine im Client-Fenster klicken. Anschließend müssen Sie sich vom Client-PC aus bei der Verwaltungskonsole anmelden, den Eintrag des Geräts suchen und auf Enable Protectionklicken. Sie müssen prüfen, ob dem Rechner ein Schutzplan zugewiesen wurde (zusätzlich zum Backup-Plan).

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Hier können Sie den Status des Echtzeit-Malware-Schutzes sowie Datum und Uhrzeit des nächsten geplanten Backups sehen. Weitere Funktionen stehen den Benutzern nicht zur Verfügung.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Acronis die schädlichen Dateien sofort und isolierte sie. Es wurde kein Warnhinweis dazu angezeigt.

Über das Produkt

Avast Business Antivirus Pro Plus bietet eine Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Die Verwaltung erfolgt über die cloudbasierte Konsole Avast Business Hub. Zu den zusätzlichen Funktionen für Windows-Clients gehören Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Exchange- und SharePoint-Security werden für Windows Server bereitgestellt. Eine Patch-Management-Funktion ist für alle Windows-Computer enthalten. Für die automatische Installation von Patches ist jedoch eine separate Lizenz für Avast Business Patch Management erforderlich. In dieser Bewertung werden nur die Funktionen zum Schutz vor Malware berücksichtigt. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Aufgrund seiner Benutzerfreundlichkeit eignet es sich unserer Meinung nach jedoch auch für kleine Unternehmen ohne eigenes IT-Personal.

Vorteile

• Enthält Anti-Spam, Datenvernichtung, VPN sowie Daten- und Identitätsschutz
• Gut geeignet für kleine und mittlere Unternehmen
• Die Konsole ist leicht zu navigieren
• Option für Echtzeit-Synchronisation zwischen Clients und Konsole
• Benachrichtigungen Link zur Detailseite/Beseitigungsfunktionen

Management Konsole

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Die Konsole bietet einen Überblick über den aktuellen Sicherheitsstatus. Sie sehen zu behebende Warnungen, Statistiken über die Erkennung von Threats, die Anzahl der Geräte im sicheren/gefährdeten Zustand und Abonnementinformationen. Wenn Sie mit der Maus über eine der Grafiken fahren, wird ein farbiges Informationsfeld mit einer Zusammenfassung des jeweiligen Elements angezeigt.

Devices Seite

Die Registerkarte Devices zeigt den Status und die Warnungen, das Betriebssystem, die Gruppenzugehörigkeit und die Richtlinie jedes Geräts sowie den Patch-Status und das zuletzt gesehene Datum an. Über die Schaltflächen und Menüs in der oberen rechten Ecke können Sie verschiedene Aufgaben auf ausgewählten Computern ausführen, wie z. B. Neustart, Scannen, Behebung von Warnungen und Änderung der Gruppenmitgliedschaft oder Richtlinie. Über die Schaltfläche Groups können Sie neue Gruppen erstellen, denen Richtlinien zugewiesen werden können. Die drei Kästchen in der oberen rechten Ecke der Seite zeigen die Anzahl der Geräte mit rotem, gelbem und grünem Status an und geben so einen Überblick darüber, wie viele Geräte Aufmerksamkeit benötigen.

Device details Seite

Durch Klicken auf den Namen eines Geräts in der Devices Seite öffnet sich die Detailansicht des Geräts. Hier sehen Sie eine Vielzahl von Informationen, darunter die genaue Betriebssystemversion, die AV-Programmversion, die Version der AV-Definitionen, die Version des Verwaltungsagenten, die internen und externen IP-Adressen, die MAC-Adresse und die Domänenzugehörigkeit. Auf weiteren Registerkarten können Sie den Status des Produktabonnements, aufgetretene Bedrohungen und Verwaltungsaufgaben (sowohl ausstehende als auch abgeschlossene) überprüfen.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Kleine Grafiken neben jedem Steuerelement zeigen an, für welche Betriebssysteme (Windows-Clients, Windows-Server, macOS) dieses Element gilt. In jeder Richtlinie können Sie eine breite Palette von Einstellungen konfigurieren. Es gibt Abschnitte für General Settings (einschließlich Aktualisierungen, Fehlerbehebung und Neustartoptionen); Service Settings (Antivirus, Patch-Management und Firewall); Exclusions (für Virenschutz und Patch-Management); und Assignments (Geräte, auf die die Richtlinie angewendet werden).

Reports Seite

Es gibt sechs verschiedene Berichtskategorien: Executive Summary, Antivirus Threats Report, Patch Report, Device Report, Remote Control Report und Tasks Report. Sie können auf jede dieser Rubriken klicken, um eine grafische Darstellung der jüngsten Aktivitäten zu sehen. Zum Beispiel, Antivirus Threats Report zeigt eine Grafik der im letzten Monat entdeckten, unter Quarantäne gestellten, blockierten, gelöschten oder reparierten Malware-Elemente. Sie können Berichte nach einem wöchentlichen oder monatlichen Zeitplan erstellen und bereits erstellte geplante Berichte anzeigen.

Users page

Hier können Sie Konsolenbenutzer verwalten. Es gibt zwei Ebenen von Berechtigungen, die im Wesentlichen volle Kontrolle und nur Lesezugriff sind. Wenn Sie die Berechtigungen eines Benutzers ändern möchten, müssen Sie sein Konto löschen und es mit den neuen Berechtigungen neu erstellen.

Account\Subscriptions Seite

Diese Seite ist in der neuesten Version weiter verbessert worden. Wie zu erwarten, zeigt sie Ihnen die Produktlizenzen an, die Sie derzeit besitzen, wie viele davon Sie verwendet haben und wann sie ablaufen. Es gibt auch Links, über die Sie andere Avast-Produkte ausprobieren oder kaufen können, darunter andere Versionen von Avast Business Antivirus, Patch Management, Basic Remote Control und Cloud Backup.

Die Hilfe- und Supportfunktionen des Produkts finden Sie im ? Menü in der oberen rechten Ecke. Durch Anklicken von How to get started, können Sie sich Videos ansehen, in denen die wichtigsten alltäglichen Aufgaben, wie z.B. die Produktbereitstellung, erklärt werden. Support Documents enthält einen Link zu den FAQ-Seiten auf der Avast-Website. Diese bieten einen Überblick über die Funktionen des Produkts, die mit Screenshots gut illustriert sind.

Notifications Seite

Dies wird in der Legacy UI in der Menüleiste angezeigt, was bedeutet, dass eine Aktualisierung fällig ist. Hier werden wichtige Warnungen angezeigt, wie z.B. Malware-Erkennungen und Geräte, die nicht mehr aktuell sind oder neu gestartet werden müssen. Sie können auf jede Warnung klicken, um die entsprechende Detailseite aufzurufen. Es werden zusätzliche Links angeboten, wie zum Beispiel die Virus Chest (Quarantäne) für Malware-Erkennungen, oder Update Now! für veraltete Geräte. Über die Notifications Settings gelangen Sie auf eine Konfigurationsseite, auf der Sie auswählen können, welche Benachrichtigungen in der Konsole angezeigt werden sollen und ob bzw. wie oft eine Erinnerungsmail versendet werden soll, wenn diese nicht gelesen wurde.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien können entweder im .exe- oder im .msi-Format von der Devices Seite heruntergeladen werden. Sie können die zu verwendende Gruppe und Richtlinie sowie die Online- oder Offline-Version des Installationsprogramms angeben. Die Installationsdatei kann manuell, über ein System-Management-Produkt oder über ein AD-Skript ausgeführt werden. In einer Active Directory-Umgebung ist auch eine Remote-Push-Installation möglich, indem ein Dienstprogramm auf einem Relay-Computer im LAN installiert wird. Auf der Download-Seite können Sie einen Download-Link erstellen, den Sie kopieren und per E-Mail an die Nutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Password Protection Option in der entsprechenden Richtlinie aktivieren.

Benutzeroberfläche

Das User-Interface auf geschützten Endpunkten besteht aus einem Taskleisten-Symbol und einem Programmfenster (Sie können das Systemablage-Symbol über eine Richtlinie ausblenden, wenn Sie möchten). Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Benutzer mit Windows-Administratorkonten die Möglichkeit erhalten, isolierte Objekte wiederherzustellen, Schutzkomponenten zu deaktivieren oder das Programm zu deinstallieren.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Avast zunächst keine Maßnahmen. Als wir jedoch versuchten, die Malware auszuführen oder sie auf den Windows-Desktop zu kopieren, wurde sie von Avast sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war nicht erforderlich. Es wurden Optionen zum Scannen des PCs und zur Anzeige von Details der erkannten Bedrohung angezeigt. Sie können Warnungen über Richtlinien deaktivieren, wenn Sie möchten.

Über das Produkt

Bitdefender GravityZone Elite bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine cloudbasierte Konsole verwaltet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

• Hochgradig anpassbare Seiten
• Anklickbare Grafiken ermöglichen den einfachen Zugriff auf Detailseiten
• Detaillierte Malware-Analyse
• Risikomanagement-Funktion
• Leicht zugängliche Meldungsdetails

Management Konsole

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Die Elemente sind Dashboard, Incidents, Threats Xplorer, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer und Configuration.

Dashboard Seite

Dashboard, diese Seite gibt Ihnen einen Überblick über die Installation und die Leistung der Clients. Sie ist in Informationsfelder unterteilt, die Portlets. Diese liefern Informationen wie den Malware-Status des Computers, den Status des Endpunktschutzes, den Update-Status und die Top-10-Malware-Empfänger. Jedes Portlet ist anklickbar, wenn Sie also z.B. auf den Clients with no detections Bereich des Malware Status Diagramm klicken, werden Sie auf eine Seite weitergeleitet, auf der alle Geräte dieser Kategorie aufgelistet sind. Die Dashboard Seite ist in hohem Maße anpassbar. Sie können Portlets verschieben, einige ausblenden und andere hinzufügen.

Incidents Seite

Incidents ermöglicht es Ihnen, die im Netzwerk erkannten Bedrohungen zu überprüfen und zu untersuchen. Standardmäßig wird eine chronologische Liste der erkannten Bedrohungen angezeigt. Es gibt Spalten für Bedrohungs-ID, Datum und Uhrzeit, Status der Untersuchung, Vertrauenswürdigkeit, ergriffene Maßnahmen, Anzahl der Alarme, betroffenes Gerät und Angriffstyp (z.B. Malware). In den Feldern am oberen Rand werden die Anzahl der offenen Warnungen nach Schweregrad, die Warnungen nach Typ und die am meisten betroffenen Geräte angezeigt. Sie können auf die angezeigten Zahlen klicken, um die entsprechende Detailseite aufzurufen. In den Feldern am oberen Rand jeder Listenspalte können Sie nach dieser Kategorie filtern, d.h. Sie können den Schweregrad der Bedrohung, den Zeitraum oder den Endpunkt angeben, um die Liste einzugrenzen.

Wenn Sie auf das Netzwerksymbol am rechten Ende eines Bedrohungseintrags klicken, erhalten Sie eine grafische Darstellung des Bedrohungsereignisses sowie weitere Details und empfohlene Maßnahmen:

Threats Xplorer Seite

Hier wird eine einfache Liste der erkannten Malware angezeigt, einschließlich Dateiname und -pfad, durchgeführte Aktion, Gerätename und Tag/Uhrzeit der Erkennung.

Network Seite

Die Haupt NetworkSeite zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können (siehe Screenshot oben). Ein Navigationsbereich auf der linken Seite zeigt Ihre Gruppenstruktur und ermöglicht es Ihnen, Geräte per Drag-and-Drop den Gruppen zuzuordnen. Auf der Seite Tasks können Sie verschiedene Aktionen auf ausgewählten Geräten durchführen, z.B. Scans, Updates, Reparaturen und Neustarts.

Die Packages Seite im Unterverzeichnis lässt Sie die Deployment-Packages konfigurieren. Sie können u.a. die zu installierenden Komponenten, die Verwendung als Relay für die Push-Installation und die Entfernung vorhandener AV-Produkte angeben. Auf der Tasks Seite im Unterverzeichnis können Sie den Status von Aufgaben wie Scans und Updates einsehen.

Risk Management Dashboard Seite

Hier sehen Sie eine breite Palette von Daten, die Sie für den proaktiven Schutz Ihres Netzwerks nutzen können. In verschiedenen Bereichen werden relevante Informationen in farbigen Diagrammen angezeigt. Die Seite Company Risk Score gibt Ihnen eine Bewertung von 1 bis 100, basierend auf Misconfigurations, Vulnerable Apps, und den Human Risks (unsicheres Verhalten von Nutzern). Für jeden dieser Punkte gibt es ein eigenes Detailfenster. Außerdem gibt es eine Zeitleiste mit dem Risk Score über die letzten 7 Tage, zusammen mit Panels für die anfälligsten einzelnen Server, Workstations und Benutzer. Die Unterseite "Security Risks" enthält vollständige Listen der Geräte, Benutzer und anfälligen Anwendungen, die auf der Hauptseite zusammengefasst sind.

Policies Seite

Hier können Sie die Konfiguration von Gruppen von Client-Geräten ändern. Über eine Menüspalte auf der linken Seite können Sie durch die verschiedenen Bereiche der einzelnen Richtlinien navigieren, z.B. Anti-Malware, Firewall und Gerätekontrolle.

Reports Seite

Hier können Sie Zusammenfassungen von Informationen, zu einer Vielzahl von Aspekten, erstellen, z.B. zu blockierten Websites, Gerätekontrollaktivitäten, dem Status des Endpunktschutzes, der Einhaltung von Richtlinien und dem Aktualisierungsstatus einsehen. Das Berichtsintervall kann auf diesen Monat, den Vormonat, dieses Jahr oder das Vorjahr festgelegt werden. Sie können auch Gerätegruppen auswählen, die einbezogen werden sollen.

Quarantine Seite

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit, ausgewählte Dateien zu löschen oder wiederherzustellen.

Accounts Seite

Mit Accounts können Sie Konsolenbenutzer hinzufügen, entfernen und bearbeiten. Es gibt drei Standard-Berechtigungsstufen, von voller Kontrolle bis hin zu nur lesen. Sie können auch eigene Berechtigungsstufen erstellen. Auf der Unterseite User Activity können Sie die Aktivitäten der Benutzerkonten überwachen.

Sandbox Analyzer Seite

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 100 (eindeutig bösartig).

Configuration Seite

Mit der Configuration Seite können Sie Konfigurationsänderungen für die Konsole selbst vornehmen. Hier können Sie unter anderem die 2-Faktor-Authentifizierung einrichten.

Notifications Panel

Ein Klick auf das Glockensymbol in der oberen rechten Ecke öffnet das Notifications Panel. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie auf ein Element klicken, wird ein Absatz mit Informationen innerhalb des Fensters angezeigt. Zum Beispiel können Sie mit Login From New Device die IP-Adresse des Geräts, das Betriebssystem des Geräts, den verwendeten Browser sowie Datum und Uhrzeit sehen. Um noch mehr Informationen zu erhalten, klicken Sie auf Show moreund Sie gelangen zur vollständigen Detailseite im Hauptfenster der Konsole.

Windows Endpoint Protection-Client

Deployment

Unter Network\Packages können Sie Installationsdateien im .exe-Format erstellen und herunterladen. Für Windows-Installationsprogramme gibt es eine Auswahl von einfachen, vollständigen 32-Bit- und vollständigen 64-Bit-Installationsprogrammen. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem der Endpunkt-Client auf einem Relais-Computer im LAN installiert wird. Alternativ können Sie ein Installationsprogramm per E-Mail an die Benutzer direkt von der Packages Seite senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Set uninstall password Option in den Einstellungen der jeweiligen Richtlinie nutzen.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie die Richtlinie ändern, können Sie das Symbol in der Taskleiste ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, startete Bitdefender automatisch einen Scan des externen Laufwerks. Wir brachen dies ab und öffneten das Laufwerk im Windows Explorer. Es gelang uns nicht, eines der Malware-Muster auf den Windows-Desktop zu kopieren. Bei Erkennung von Malware wird eine Popup-Warnung angezeigt, die sich nach einigen Sekunden wieder schließt. Eine Benutzeraktion ist weder erforderlich noch möglich. Sie können die Erkennungswarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cisco Secure Endpoint Essentials bietet Endpoint-Security-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese werden über eine cloudbasierte Konsole verwaltet. Neben dem Schutz vor Malware bietet das Produkt Funktionen zur Überwachung, Untersuchung und Blockierung von Security-Threats. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

• Investigative Merkmale
• Geeignet für mittlere bis große Unternehmen
• Es wird eine detaillierte Zeitleiste der Angriffe angezeigt.
• Die Reaktion auf Angriffe kann automatisiert werden
• Die gut gestaltete Benutzeroberfläche ermöglicht einen unkomplizierten Zugriff auf eine Vielzahl von Funktionen

Management Console

Dashboard Tab

Die Dashboard Seite des Dashboard Tabs ist im obigen Screenshot dargestellt. Es gibt eine Reihe von Feldern mit farbigen Balkendiagrammen. Diese zeigen Compromises, Quarantined Detections, Vulnerabilities, Significant Compromise Artifacts, und Compromise Event Types. Die Inbox Seite zeigt eine kompakte, zusammengefasste Version desselben Sachverhalts. Die Overview Seite bietet den besten grafischen Überblick über den Zustand des Netzes, mit farbigen Balken- und Doughnut-Diagrammen, die Folgendes zeigen Sicherheitslücken, Bedrohungen, Schwachstellen, Computer, Netzwerkbedrohungen, AV-Definitionsstatus und File AnalysisCompromises, Threats, Vulnerabilities, Computers, Network Threats, AV Definition Status und File Analysis. Diese fassen die wichtigsten Informationen sehr übersichtlich zusammen. Auf der Events Seite sind die jüngsten Entdeckungen aufgeführt.

Analysis Menü zu finden

In dem Analysis Menü finden Sie Funktionen zur Untersuchung von Angriffen.

Events zeigt eine Liste von Ereignissen, wie z.B. die Installation und Deinstallation von Endpunkt-Clients und Bedrohungen, die auf geschützten Geräten aufgetreten sind. Dazu gehören der Zugriff auf riskante Websites, Downloads schädlicher Dateien und Versuche, mutmaßliche Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z.B. die IP-Adresse und der Port der Threat-Website sowie der Hash der schädlichen Datei.

Sie können die Details einer Datei auf der Seite File Analysis ansehen. Sie zeigt Ihnen die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als schädlich.

Um zu sehen, welche legitimen Programme in Malware-Begegnungen verwickelt waren, werfen Sie einen Blick auf die Threat Root Cause Seite. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen, wie chrome.exe oder explorer.exe.

Auf dem Prevalence Seite wird die Anzahl der Geräte angezeigt, die von einem bestimmten Threat betroffen sind.

Unter Vulnerable Software werden Programme mit bekannten Sicherheitslücken aufgelistet. Außerdem gibt es CVE-ID- und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen.

Reports liefert einen sehr detaillierten Bericht pro Woche und/oder Monat und/oder Quartal. Darin werden zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen behandelt. Diese werden mit farbigen Balken- und Doughnut-Diagrammen dargestellt.

Orbital Advanced Search ist eine Fähigkeit, mit der Sie Endpunkte nach detaillierten Informationen abfragen können. Wenn sie in einer Richtlinie aktiviert ist, wird automatisch ein zusätzliches Modul installiert (das auf unseren Haupttestsystemen nicht verwendet wird). Orbital kann Abfragen sofort ausführen, oder Sie können sie mit der Orbital Jobs Funktion planen. Sie enthält einen Katalog von Abfragen mit zugehörigen MITRE ATT&CK Tactics, Techniques or Procedure (TTP) Mappings.

Die Seite Indicators zeigt Kompromittierungsindikatoren (IOCs) an, die Ereignisse auslösen. Diese dienen als Benachrichtigung über verdächtige oder bösartige Aktivitäten auf einem Endpunkt, die dann untersucht werden können. Sie können diese Seite über das Menü Analysis aufrufen. Jeder Indikator enthält eine kurze Beschreibung der Art des Angriffs. Außerdem gibt es Informationen über die verwendeten Taktiken und Techniken, die auf der MITRE ATT&CK-Wissensdatenbank basieren.

Outbreak Control Menü zu finden

Das Outbreak Control Menü bietet Optionen zum Sperren oder Zulassen bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Die Automated Actions Funktion (siehe unten) lässt Sie Aktionen festlegen, die automatisch ausgelöst werden, wenn ein bestimmtes Ereignis auf einem Computer eintritt. Wenn der Computer beispielsweise kompromittiert ist, können Sie einen forensischen Schnappschuss erstellen, ihn isolieren oder in eine bestimmte Gruppe verschieben (oder eine beliebige Kombination dieser Aktionen). Sie können auch verdächtige Dateien zur Analyse einreichen, wenn sie entdeckt werden. In jedem Fall kann die Mindestbedrohungsstufe (Kritisch, Hoch, Mittel oder Niedrig), die zum Auslösen der Aktion erforderlich ist, angegeben werden.

Management Menü zu finden

Das Management Menü enthält eine Reihe weiterer Standardfunktionen. Diese sind Groups, Policies, Exclusions, und deployment options.

Auf der Seite Computers (unten) finden Sie oben eine Reihe von Statistiken, z.B. über Computer mit Fehlern oder solche, die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Sie können einen Computer für weitere Aufmerksamkeit markieren, indem Sie hier auf das Flaggensymbol klicken. Wenn Sie auf das Pfeilsymbol für ein Gerät klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Anschlussversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Besuchs angezeigt. Die Liste der Computer kann nach jedem der oben genannten Parameter gefiltert werden.

In den Angaben zu den einzelnen Computern findet sich ein Link zu Device Trajectory (siehe Screenshot unten). Hier werden die Erkennungsereignisse nach Datum angezeigt (die Reihe der roten Punkte oben auf der Seite). Die Seite bietet eine sehr detaillierte Ansicht jedes Ereignisses mit einer Zeitleiste, die die Reihenfolge der Phasen anzeigt. Es gibt eine Fülle von Informationen, die bei der Untersuchung eines Angriffs helfen, einschließlich der beteiligten Systemprozesse, Hashes verdächtiger Dateien, IP-Adressen, auf die zugegriffen wurde, und vieles mehr. Klicken Sie mit der rechten Maustaste auf einen Prozessnamen in der System Spalte klicken, öffnet sich ein Kontextmenü mit zahlreichen Optionen, darunter eine Zusammenfassung der Erkennungen oder ein vollständiger Bericht von VirusTotal. Außerdem gibt es die Option Investigate in Cisco Threat Response. Dadurch wird eine separate Konsole geöffnet, mit der Sie die Art der Bedrohung und die Auswirkungen auf Ihr Netzwerk untersuchen können.

Die Funktion Endpoint Isolation muss in der entsprechenden Richtlinie aktiviert werden, bevor sie verwendet werden kann. Sie ermöglicht es Ihnen, den gesamten ein- und ausgehenden Netzwerkverkehr auf einem Computer zu blockieren (mit Ausnahme der Kommunikation mit der Management-Konsole). Auf diese Weise können Sie eine potenzielle Bedrohung sicher untersuchen.

Windows Endpoint Protection-Client

Deployment

Installationsprogramme im .exe-Format finden Sie durch Klicken auf den Management\Download Connector. Sie müssen eine Gerätegruppe auswählen, die festlegt, welche Richtlinie angewendet werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Auf der Seite finden Sie auch einen Download-Link, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Enable Connector Protection in der jeweiligen Richtlinie aktivieren.

Benutzeroberfläche

Mit der Endpoint-Protection-Software können Nutzer Scans und Updates durchführen und die Protokolle anzeigen. Es gibt eine Reihe von Scans, die Nutzer ausführen können. Diese sind Flash Scan (laufende Prozesse), Custom Scan, Full Scan oder Rootkit Scan. Die Nutzer können eine Datei/Ordner/Laufwerk auch über das Rechtsklick-Menü des Windows Explorers scannen. Sie können die Benutzeroberfläche vollständig über die Richtlinien ausblenden lassen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Cisco zunächst keine Maßnahmen. Als wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Dem Endverbraucher wurde keine Warnung angezeigt. Die Endpoint-Software kann jedoch per Richtlinie so konfiguriert werden, dass Erkennungsbenachrichtigungen angezeigt werden.

Über das Produkt

CrowdStrike Falcon Pro bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine cloudbasierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Ermittlungsfunktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Tausenden von Geräten verwalten. Wir weisen darauf hin, dass CrowdStrike Falcon Pro als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz von Endgeräten wünschen, bei der sie sich um nichts kümmern müssen. CrowdStrike teilt uns mit, dass das Unternehmen über Rechenzentren in den USA und der EU verfügt, um die jeweiligen Datenschutzbestimmungen einzuhalten.

Vorteile

• Investigative Funktionen
• Umfassende Suchmöglichkeiten
• Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten
• Enzyklopädie der bekannten cyberkriminellen Gruppen
• Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Navigation in der Konsole erfolgt über das Falcon-Menü in der linken oberen Ecke der Konsole. Hier werden die einzelnen Seiten unter Überschriften wie Activity, Investigate, Hosts, Configuration, Dashboards und Users aufgelistet. Sie können ganz einfach ein Lesezeichen für eine beliebige Seite der Konsole setzen und dann direkt zu dieser Seite gehen, indem Sie die Bookmarks Sektion des Menüs nutzen.

Activity\Dashboard Seite

Dies ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal bei der Konsole anmelden. Sie zeigt verschiedene Statuselemente in großen Feldern an. Es gibt eine Liste der letzten Erkennungen mit einer grafischen Schweregradbewertung. Sie können auch ein Diagramm der Erkennungen nach Taktik sehen (z.B. Machine learning, Defense Evasion) über den vergangenen Monat sehen. Zur Darstellung der Angriffsstadien werden hier Begriffe aus dem MITRE ATT&CK Framework verwendet. Einige der Panels sind mit Detailseiten verlinkt. Sie brauchen daher nur auf die Schaltfläche New detections klicken, um die Detections Detailseite zu öffnen.

Activity\Detections Seite

Hier können Sie eine Liste von Bedrohungserkennungen nach einer Vielzahl von Kriterien durchsuchen. Dazu gehören Schweregrad, Taktik, Erkennungstechnik, Zeit, Status und auslösende Datei. Zu jeder Erkennung können Sie vollständige Details anzeigen lassen, einschließlich einer Prozessstrukturansicht. Sie können einen Konsolenbenutzer für die Behebung zuweisen.

Activity\Quarantined Files Seite

Wie zu erwarten, können Sie auf dieser Seite Dateien sehen, die vom System unter Quarantäne gestellt wurden. Sie können den Dateinamen, den Gerätenamen, die Anzahl der Erkennungen im Netzwerk, den beteiligten Benutzer und natürlich Datum und Uhrzeit der Erkennung sehen. In Quarantäne gestellte Dateien können freigegeben oder gelöscht werden. Wenn Sie auf eine unter Quarantäne gestellte Datei klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen. Dazu gehören der Dateipfad für den Ort, an dem die Datei entdeckt wurde, Dateihashes, Dateigröße, Dateiversion, Erkennungsmethode und Schweregrad. Es gibt eine Suchfunktion und eine Reihe von Filtern, die Sie verwenden können, um bestimmte Dateien im Quarantäne-Repository zu finden.

Configuration\Prevention Policies Seite

Hier können Sie die Schutzrichtlinien für Endpunkte erstellen und bearbeiten. Sie können das Verhalten für eine Reihe verschiedener Arten von angriffsbezogenem Verhalten definieren, z.B. für Ransomware, Exploitation und laterale Bewegungen. Einige Sensorkomponenten, wie z.B. Cloud Machine Learning und Sensor Machine Learning haben getrennte konfigurierbare Stufen für Erkennung und Prävention. Es können 5 verschiedene Empfindlichkeitsstufen eingestellt werden, von Disabled auf Extra Aggressive Hier können auch benutzerdefinierte Angriffsindikatoren (Indicators of Attack, IOA) erstellt und zugewiesen werden, und es gibt eine Option zur automatischen Behebung von IOA-Erkennungen.

Richtlinien können den Geräten automatisch über ein Benennungssystem zugewiesen werden. So kann z.B. jedes Gerät mit "Win" im Namen automatisch in eine bestimmte Gruppe von Windows-Computern eingeordnet werden, denen eine bestimmte Richtlinie zugewiesen wird. Geräten/Gruppen kann mehr als eine Richtlinie zugewiesen werden, wobei eine Richtlinienhierarchie festlegt, welche Richtlinie Vorrang hat.

Hosts\Host Management Seite

Auf der Seite Hosts/Host Management werden alle installierten Geräte aufgelistet. Sie können sofort sehen, welche davon online sind. Weitere Informationen sind Betriebssystem, Richtlinie, Sicherheitsstatus und Sensorversion. Wenn Sie auf den Eintrag eines Geräts klicken, öffnet sich ein Detailfenster für dieses Gerät. Hier finden Sie zusätzliche Informationen, wie Gerätehersteller, MAC-Adresse, IP-Adressen und Seriennummer.

Intelligence\Actors Seite

Auf dieser Seite finden Sie Einzelheiten zu bekannten cyberkriminellen Gruppen. Sie können die Länder und Branchen sehen, auf die es die einzelnen Gruppen abgesehen haben, sowie technische Details zu den verwendeten Angriffsmethoden. CrowdStrike teilt uns mit, dass diese Informationen auch in Detection Details verfügbar sind, wenn eine Entdeckung mit einem bestimmten Akteur verbunden ist.

Investigate\Host Search Seite

Das Investigate Menü bietet eine äußerst umfassende Suchfunktion. Damit können Sie nach Geräten, Hashes, Benutzern, IP-Adressen, Domänen und Ereignissen suchen. Im Menü der Host Search Seite können Sie nach bestimmten Geräten suchen. Über eine separate Menüleiste können Sie nach bestimmten Aspekten suchen, z.B. Activity (einschließlich Entdeckungen), Vulnerabilities und Installed Applications.

Die Funktion Endpoint Isolation muss in der entsprechenden Richtlinie aktiviert werden, bevor sie verwendet werden kann. Sie ermöglicht es Ihnen, den gesamten ein- und ausgehenden Netzwerkverkehr auf einem Computer zu blockieren (mit Ausnahme der Kommunikation mit der Management-Konsole). Auf diese Weise können Sie eine potenzielle Bedrohung sicher untersuchen.

Windows Endpoint Protection-Client

Deployment

Installationsdateien für den Sensor (Endpunktschutz-Client) können im .exe-Format von der Hosts\Sensor Downloads Seite heruntergeladen werden. Ältere Versionen des Sensors sind auf Wunsch erhältlich. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Es gibt überhaupt keine Schnittstelle zum Endpunkt-Client. Er ist für den Benutzer völlig unsichtbar, mit Ausnahme von Malware-Warnhinweisen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, reagierte CrowdStrike Falcon nicht. Es gelang uns, die schädlichen Dateien auf den Windows-Desktop zu kopieren. Die Erkennungen wurden jedoch sofort in der Verwaltungskonsole angezeigt. Sobald wir versuchten, eines der Malware-Samples auszuführen, wurde es sofort gelöscht. Es wurde eine Windows-Popup-Warnung angezeigt, die sich nach wenigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Schutzwarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cybereason Enterprise bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Funktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

• Investigative Funktionen
• Einfacher und schneller Client-Bereitstellungs-Prozess
• Die Verwaltungskonsole ist über ein einziges Menü leicht zu navigieren
• Klare grafische Darstellungen von bösartigen Aktivitäten
• Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten

Management Console

Die Konsole wird über das Menü in der oberen linken Ecke gesteuert.

Discovery board Seite

Das Discovery board (im Screenshot oben dargestellt) ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal anmelden. Sie zeigt "Malops" (bösartige Vorgänge) in Spalten, je nach Typ, an. Die blauen Punkte stehen für eine bösartige oder verdächtige Aktivität. Die Größe des Punktes steht für die Anzahl der betroffenen Rechner, und die Farbschattierung bezieht sich auf die Aktivitätszeit (wie in der Leiste rechts auf der Seite erklärt). Wenn Sie auf einen Punkt klicken, werden in einem Popup-Fenster der Name der Datei/des Prozesses und die Art der Bedrohung (z. B. Einschleusen von bösartigem Code) sowie Datum und Uhrzeit der Aktion und das/die betroffene(n) Gerät(e) angezeigt. Wenn Sie auf das Pop-up klicken, wird die Detailseite für diesen Malop geöffnet. Wir freuen uns, dass Cybereason einen Hauch von Humor in die ernste Welt der IT-Sicherheit gebracht hat. Wenn alles in Ordnung ist, wird auf dem Discovery Board stehen: "Heute keine Malops gefunden. Wie wäre es mit einer Tasse Tee?".

Malops Management Seite

Die Malops management Seite zeigt eine Liste der erkannten bösartigen Vorgänge in chronologischer Reihenfolge. Die Informationen für jedes Element umfassen einen Bezeichner (Datei-/Prozessname), das Erkennungsmodul und die betroffenen Geräte sowie Datum und Uhrzeit. Diese Informationen sind in großzügigen Zeilen angeordnet, so dass sie leicht zu lesen sind. Mit verschiedenen Ansichtsoptionen können Sie die Malops nach Aktivitätstyp, Ursache oder betroffenem Gerät sortieren. Sie können auch eine Rasteransicht wählen, die mehr Elemente mit weniger Details anzeigt. Wenn Sie auf einen der Malops klicken, wird die entsprechende Detailseite geöffnet.

Malop details Seite

Die Malop details Seite enthält eine Fülle von Informationen über den fraglichen Malop. Dazu gehören das Gerät, der SHA1-Dateihash, eingehende und ausgehende Verbindungen zu und von dem Prozess sowie eine Zeitleiste. Diese Informationen werden in sehr übersichtlichen Diagrammen dargestellt, die eine Zusammenfassung der Bedrohung auf einen Blick bieten. Dies scheint uns eine bemerkenswert effektive Methode zu sein, die wichtigen Informationen schnell und einfach zu vermitteln. Über große Schaltflächen am oberen Rand der Seite können Sie verschiedene Aktionen zur Behebung des Problems durchführen. Diese sind Respond, Kill Process, Prevent Files Execution, Quarantine, Isolate und Exclude

Malware alerts Seite

Hier werden Warnungen in Bezug auf bekannte und unbekannte Malware, dateilose Angriffe und Anwendungskontrolle angezeigt. Sie können Warnungen anhand dieser Kategorien filtern. Die für jede Warnung bereitgestellten Informationen umfassen den Dateinamen, die durchgeführte Aktion, das betroffene Gerät sowie Datum und Uhrzeit. Für jedes dieser Elemente gibt es Investigate und Exclude damit Sie mit ihnen umgehen können.

Investigation Seite

Auf der Seite Investigation können Sie benutzerdefinierte Suchabfragen erstellen, die Kriterien wie Rechner, Benutzer, Prozess, Verbindung, Netzwerkschnittstelle und Registrierungseintrag verwenden. Es gibt auch vorgefertigte Abfragen, wie z. B. Unsigned Services employing autostart und Privilege Escalation to System.

Security profile Seite

Hier können Sie die Reputationskriterien anpassen, benutzerdefinierte Regeln für die Erkennung und verhaltensbezogene Whitelists erstellen und Ausnahmen von der Isolierung verwalten.

System Section

Die Hauptseite System hat eine Reihe von Unterseiten. Diese sind Overview, Sensors, Policies management, Detection servers und Groups.

System\Overview Seite

Die Standardseite Overview ist in 4 Bereiche unterteilt. Der Bereich Sensors zeigt ein Donut-Diagramm des Status der installierten Geräte mit einem Ampel-Farbsystem für die Zustände Enabled, Suspended und Service Error. Ein zweites Panel vervollständigt das Bild mit einem einfachen Balkendiagramm, das den Anteil der aktuellen Clients anzeigt. Die beiden anderen Panels zeigen Details zum Management-Server bzw. zu den Diensten.

System\Sensors Seite

Die Seite System zeigt eine Liste der geschützten Geräte mit Details wie Sensorversion, Betriebssystemtyp und IP-Adresse an. Die Detailspalten können angepasst werden, so dass Sie eine Vielzahl von Elementen wie CPU-Nutzung, Speichernutzung und Betriebssystemversion hinzufügen können. Sie können ein oder mehrere Geräte auswählen und über das Menü Aktionen Aufgaben ausführen, z. B. aktualisieren, neu starten, Richtlinien festlegen, den Anti-Ransomware-Modus einstellen und einen Systemscan starten. Über ein Panel am oberen Rand der Seite können Sie eine lange Liste von Geräten nach Sensorstatus, Datenerfassung, Betriebssystem, Aktualisierungsstatus, App-Kontrollstatus und Ransomware-Schutzstatus filtern.

System\Policies Management Seite

Die System\Policies management Seite lässt Sie Richtlinien für die Endpoint-Software erstellen und bearbeiten. Für jede Richtlinie gibt es eine Konfigurationsseite mit einer linken Menüspalte. Damit können Sie zu bestimmten Abschnitten der Richtlinie wechseln. Diese sind Anti-Malware, Exploit protection, PowerShell and .NET, Anti-Ransomware, App Control, Endpoint controls, Collection features, und Endpoint UI Settings. Jedes Element öffnet die entsprechende Konfigurationsseite mit übersichtlichen Bedienelementen für die einzelnen Unterkomponenten.

System\Detection servers Seite

Hier können Sie Details zu den Websites und Servern hinzufügen und bearbeiten, die die Schutzsoftware verwalten.

Settings Seite

Auf dieser Seite können Sie Systemelemente wie Benachrichtigungen, Authentifizierung und Kennwortrichtlinien konfigurieren.

Support Seite

Die Support-Dienste des Produkts können durch Anklicken von Support, geändert werden, wie Sie es erwarten würden.

Software zum Schutz von Windows-Endgeräten

Deployment

Installer-Dateien im .exe-Format können von der System\Overview Seite der Konsole heruntergeladen werden. Es gibt 32- und 64-Bit-Installationsprogramme für Windows. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Die manuelle Installation kann mit einem einzigen Klick durchgeführt werden und ist in Sekundenschnelle abgeschlossen.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste, das den Schutzstatus, Datum und Uhrzeit der letzten Aktualisierung, Datum und Uhrzeit der letzten Überprüfungen, die Signaturversion und die Programmversion anzeigt. Darüber hinaus werden den Nutzern keine weiteren Funktionen zur Verfügung gestellt. Sie können die Benutzeroberfläche und die Warnmeldungen mithilfe von Richtlinien vollständig ausblenden, wenn Sie dies wünschen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Cybereason die schädlichen Dateien sofort und isolierte sie. Es wurde ein Pop-up-Warnhinweis angezeigt, der sich nach einigen Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

Elastic Security bietet Endpoint-Security-Software für Windows- und macOS-Workstations sowie Windows-Server. Die Verwaltung erfolgt entweder über eine Server-basierte oder eine Cloud-basierte Konsole; letztere haben wir in diesem Test beschrieben. Neben dem Schutz vor Malware bietet das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten.

Vorteile

• Investigative Funktionen
• Sauberes und einfaches Konsolendesign
• Detaillierte Informationen über Netzwerkverbindungen werden bereitgestellt
• Pop-up-Panels zeigen schnell Details von Daten in Diagrammen an
• Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Elastic-Konsole als Ganzes bietet neben der Sicherheit eine Reihe weiterer Funktionen. Der Zugriff auf die Security-Funktionen erfolgt (wie zu erwarten) über die Security Bereich im Hauptmenü von Elastic. In dieser Übersicht haben wir uns nur den sicherheitsrelevanten Teil der Konsole angesehen. Oben auf der Konsole gibt es eine einzige Menüleiste mit den Hauptseiten Overview, Detections, Hosts, Network, Timelines, Cases, und Administration.

Überblick Seite

Dies ist die Seite, die Sie sehen, wenn Sie den Security-Bereich der Konsole zum ersten Mal öffnen (siehe Screenshot oben). Sie gibt Ihnen einen Überblick über sicherheitsrelevante Ereignisse, die in Panels mit Balkendiagrammen dargestellt werden. Diese sind Detection alert trend, External alert trend, Events, Host events, und Network events. Wenn Sie mit der Maus über eines der Diagramme fahren, wird ein Feld mit einer detaillierten Aufschlüsselung für dieses Element angezeigt. Eine Schaltfläche in der oberen rechten Ecke jedes Feldes verweist auf die entsprechende Detailseite der Konsole.

Hosts Seite

Hier finden Sie eine Zeitleiste der letzten Erkennungswarnungen, die in 3-Stunden-Intervallen angezeigt wird. Außerdem gibt es eine detaillierte Übersicht über die einzelnen Ereignisse (siehe oben). Für jeden Alarm werden folgende Optionen View details, Analyze event, Investigate in timeline, Add to case, Mark in progress, Close alert, Add endpoint exception und Add rule exception angezeigt.

Die Seiten Timelines und Cases werden nur ausgefüllt, wenn eine Untersuchung eingeleitet wurde.

Network Seite

Hierzu gehört eine Weltkarte, auf der die Standorte der Server verzeichnet sind, mit denen sich die Client-PCs verbunden haben. Darunter befindet sich eine Tabelle mit genauen Angaben zu diesen Verbindungen (siehe oben).

Administration Seite

Diese Seite hat zwei Registerkarten. Unter Trusted applications können Sie Anwendungen auf der Whitelist verwalten, während Endpoints eine vollständige Liste aller Geräte im Netzwerk anzeigt, auch derjenigen, die sich in einem inaktiven Zustand befinden. Auf dieser Seite können Sie unter anderem auf die Richtlinien zugreifen, die die Security-Einstellungen für vernetzte Geräte festlegen. So können Sie unter anderem Schlüsselereignisse definieren, die zur Analyse aufgezeichnet werden sollen, Benutzerbenachrichtigungen aktivieren und die Integration mit dem Windows Security Center vornehmen.

Windows Endpoint Protection-Client

Deployment

Die Bereitstellung des Endpunktschutz-Agenten kann über eine manuelle Installation auf dem Endpunkt oder über ein Systemverwaltungs-Produkt oder das Active Directory erfolgen. Ein gezipptes Installationspaket, das ein Installationsprogramm im .exe-Format sowie einige Konfigurationsdateien enthält, kann über einen Link auf dem Fleet\Overview\Add Agent Panel heruntergeladen werden. In diesem Bereich finden Sie auch die PowerShell-Syntax, die Sie benötigen, um das Installationsprogramm manuell auszuführen. Wir weisen darauf hin, dass die spezifische Version des Installationsprogramms verwendet werden muss, die der Versionsnummer der Verwaltungskonsole entspricht.

Benutzeroberfläche

Die Endpoint-Protection-Software ist für den Benutzer völlig unsichtbar, mit Ausnahme der Malware-Erkennungswarnungen (siehe unten). Sie erscheint nicht in den Windows Programs and Features oder Apps Listen. Dies bedeutet, dass selbst Benutzer mit Windows-Administratorkonten Schwierigkeiten bei der Deaktivierung haben.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Elastic zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie von der Endpoint-Software erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

ESET PROTECT Entry mit ESET PROTECT Cloud bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese werden über eine Cloud-Konsole verwaltet. Wir sind der Meinung, dass diese Lösung auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist, aber auch mit größeren Netzwerken zurechtkommt. Bitte beachten Sie, dass es eine Auswahl an Endpoint-Protection-Software für Windows-Clients gibt. ESET Endpoint Antivirus ist ein Anti-Malware-Programm mit vollem Funktionsumfang; ESET Endpoint Security (das in unseren Tests verwendet wurde) enthält zusätzliche Funktionen wie eine Web-Kontrollfunktion und ESETs Netzwerkschutzmodul. Das Paket enthält ESET File Security für Windows Server.

Vorteile

• Modernes, anpassungsfähiges Oberflächendesign
• Einfacher Zugriff auf Funktionen über eine einzige Menüspalte
• Die anklickbare, vernetzte Konsole macht es einfach, zu den Detailseiten zu gelangen
• Aufgabenautomatisierung über dynamische Gruppen
• Auswahl der Endpoint-Protection-Software

Management Console

Dashboard Seite

Die Konsole öffnet sich auf der Dashboard/Computers Seite, die im obigen Screenshot zu sehen ist. Sie bietet auf einen Blick einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und Rogue-Computern sehen. Die Zeiten der letzten Verbindung/Aktualisierung und die Verteilung der Betriebssysteme werden angezeigt. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassungsfähig. Sie können sie u.a. verschieben, in der Größe verändern und den Diagrammtyp ändern. Andere Registerkarten auf der Dashboard Seite können Antivirus- oder Firewall-Bedrohungen, ESET-Anwendungen und Vorfälle anzeigen.

Computers Seite

Die Seite Computers (siehe oben) gibt Ihnen einen Überblick über alle verwalteten Geräte und Gerätegruppen im Netzwerk. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen. Sie können Computer auch in Ihre eigenen Gruppen einteilen und über das Menü Actions Aufgaben für einzelne oder mehrere Geräte ausführen. Beispiele hierfür sind Scan, Update, Reboot, Shut Down, Manage Policies, Deactivate Products und Remove. Wenn Sie auf den Eintrag eines einzelnen Computers klicken, öffnet sich eine detaillierte Informationsseite für dieses Gerät (Screenshot unten). Bitte beachten Sie, dass ESET Full Disk Encryption (im Screenshot der Konsole unten dargestellt) ein separates Produkt ist, das nicht in ESET PROTECT Entry enthalten ist.

Detections Seite

Die Seite Detections zeigt Informationen über alle Bedrohungen, die von allen verwalteten Geräten im Netzwerk erkannt wurden. Zu den Details gehören Status, Erkennungstyp, Malwaretyp, Erkennungsname, durchgeführte Aktion, Gerätename, Benutzer, Dateipfad sowie Datum und Uhrzeit. Sie können auf den Eintrag eines beliebigen Threats klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus zu erfahren. Es ist auch möglich, Dateien von dieser Seite aus auf die Whitelist zu setzen.

Reports Seite

Mit Reports können Sie Daten aus einer Vielzahl von Kategorien sammeln, darunter Antivirus detections, Automation, Dynamic Threat Defense, Firewall detections, Hardware inventory und quarantine. Für jede Kategorie wird eine breite Palette vorkonfigurierter Szenarien bereitgestellt, die als Kacheln angezeigt werden. Um einen Bericht über eines dieser Elemente zu erstellen, genügt ein Klick auf die entsprechende Kachel. Beispiele für Berichte in der Kategorie Antivirus detection sind >Active detections, Blocked files in last 30 days, High severity detection events in last 7 days, und Last Scan. Sie können auch eigene Berichtsszenarien erstellen und planen, wenn Sie möchten.

Tasks Seite

Mit Tasks können Sie eine Vielzahl von Aktionen auf einzelnen Geräten oder Gerätegruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z.B. die Installation von Windows Updates und das Herunterfahren des Betriebssystems.

Policies Seite

Hier finden Sie eine praktische Liste mit vorkonfigurierten Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Es gibt separate Richtlinien für Windows-Server, Windows-Clients und macOS/Linux-Clients. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien erstellen, wenn Sie möchten. Für die Mechanismen des maschinellen Lernens gibt es zwei Einstellungen: Reporting oder Protection.

Computer Users Seite

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

Installers Seite

Hier können Sie Installationspakete erstellen, die für die Bereitstellung der Endpoint-Protection-Software verwendet werden. Wenn Sie sich zum ersten Mal an der Konsole anmelden, können Sie dies mit Hilfe eines Einführungsassistenten sofort tun. Um ein Installationsprogramm zu erstellen, wählen Sie das entsprechende Produkt aus und konfigurieren die Installationsoptionen.

Submitted files Seite

Diese Seite zeigt eine Liste von möglicherweise verdächtigen Dateien auf geschützten Endpunkten an, die an ESETs LiveGrid Dienst zur Analyse übermittelt wurden. Die Dateien können automatisch vom System, manuell vom Nutzer oder von einem anderen ESET-Administrator oder -System übermittelt worden sein.

Quarantine Seite

Hier sehen Sie alle Dateien, die unter Quarantäne gestellt wurden, zusammen mit nützlichen Details wie dem Hash, dem Erkennungstyp (Trojaner, PUA, Testdatei) und der Anzahl der betroffenen Computer. Sie können alle unter Quarantäne gestellten Dateien wiederherstellen oder löschen.

Exclusions Seite

Die Seite Exclusions zeigt Dateien/Pfade, die von der Erkennung/dem Scannen ausgeschlossen wurden, und enthält Anweisungen zum Erstellen solcher Ausschlüsse.

Notifications Seite

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Status overview Seite

Die Seite Status Overview gibt einen kurzen Überblick über wichtige Statuspunkte, unterteilt in die Kategorien Licences, Computers, Products, Invalid Objects und Questions. Der Bereich Invalid Objects weist z.B. auf Richtlinien hin, die sich auf veraltete Installer beziehen. Questions weist auf "Entscheidungen hin, die nicht automatisch gehandhabt werden können und die die Aufmerksamkeit des Administrators erfordern".

More\Audit Log Seite

Hier wird eine Aufzeichnung der von Konsolenbenutzern durchgeführten Aktionen angezeigt. Sie können u.a. An- und Abmeldungen sowie das Umbenennen und Verschieben von Computern sehen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe- oder GPO/SCCM-Skriptformat können von der Installers Seite heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über Active Directory ausgeführt werden. Sie können ein Installationsprogramm auch direkt über die Installers Seite per E-Mail an andere Benutzer senden. Das Installationsprogramm kann so konfiguriert werden, dass keine Entscheidungen getroffen werden müssen, so dass die Installation auch für nicht erfahrene Benutzer einfach ist. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Option Password protect settings in den Richtlinien wählen.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster, das unten abgebildet ist. Sowohl ESET Endpoint Security als auch ESET File Security for Windows Servers verwenden eine nahezu identische Oberfläche wie ESET Endpoint Antivirus.

Der Nutzer kann den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und vollständige oder benutzerdefinierte Scans durchführen. Nutzer können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie Benutzern mit Windows-Administratorkonten die volle Kontrolle über das Programm geben. Alternativ dazu können Sie die Benutzeroberfläche für alle Benutzer ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen, wurden wir von ESET Endpoint Security aufgefordert, das Laufwerk zu scannen. Wir lehnten ab und öffneten das Laufwerk im Windows Explorer. ESET erkannte die schädlichen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich. Es wird jedoch ein Link angezeigt, der weitere Details zur Bedrohung enthält. Sie können Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

FireEye Endpoint Security bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie für Windows-Server. Es ist eine Vielzahl von Konsolentypen verfügbar. Dazu gehören die Cloud-basierte, die Hardware-Appliance, die virtuelle Appliance und die von Amazon gehostete Konsole. Wir beschreiben in diesem Test die Cloud-basierte Konsole. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt ist für sehr große Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance.

Vorteile

• Investigative Funktionen zu Angriffen
• Eine Vielzahl von Konsolentypen verfügbar
• Geeignet für mittelgroße bis große Unternehmen
• Umfassende Suchfunktion
• Mit der Containment-Funktion können Sie infizierte Geräte isolieren

Management Console

Dashboard

Wenn Sie die Konsole öffnen, sehen Sie einen Überblick über die wichtigsten Statuselemente (siehe Screenshot oben). Dazu gehören die Gesamtzahl der Hosts mit Warnungen und eine Aufschlüsselung nach Exploits und Malware. Ein Klick auf die Total hosts with alerts Schaltfläche öffnet die Hosts with Alerts Seite, siehe unten.

Hosts with alerts

Wie der Name schon sagt, werden auf dieser Seite Details zu geschützten Geräten mit noch nicht behobenen Alarmen angezeigt. Wenn Sie auf das Pluszeichen eines Geräts klicken, sehen Sie eine Liste der Warnungen für dieses Gerät in chronologischer Reihenfolge. Bei Malware-Warnungen wird eine Fülle von Details zu jeder Warnung angezeigt. Dazu gehören der Status (z.B. unter Quarantäne gestellt), die Erkennungsmethode (z.B. Signatur), der Dateipfad, MD5- und SHA1-Hashes (jedoch nicht SHA256), die Dateigröße, die Zeiten der letzten Änderung und des letzten Zugriffs, der Prozesspfad, der Benutzername des angemeldeten Benutzers, der Erkennungsname, der Bedrohungstyp sowie die Zeiten der ersten und letzten Warnungen für das Objekt. Jeder Threat kann bestätigt (als "read" markiert) oder als False Positive markiert werden. Sie können auch Kommentare zu den Bedrohungsdetails hinzufügen, um sie später zu untersuchen.

Alerts

Für eine bedrohungszentrierte und nicht gerätezentrierte Ansicht können Sie die Alerts Seite öffnen. Hier können Sie Bedrohungen nach Namen, Dateipfad, ersten oder letzten Erkennungen und Hostname oder IP-Adresse des jeweiligen Geräts sortieren. Die Optionen Acknowledge, Mark False Positive und Add Comment sind auch hier verfügbar.

Acquisitions

Von der Hosts Seite können Sie eine Datei oder verschiedene Diagnosedaten von einem einzelnen Gerät abrufen. Auf der Seite Acquisitions können Sie Dateien, die Sie von Hosts erworben haben, herunterladen, um sie zu analysieren.

Enterprise Search

Mit dieser Funktion können Sie das Netzwerk nach einer Vielzahl von Elementen durchsuchen. Dazu gehören Anwendungsname, Browserversion, Hostname, verschiedene ausführbare Dateien, Dateinamen/Hashes/Pfade, IP-Adresse, Port, Prozessname, Registrierungsschlüssel, Dienstname/Status/Typ/Modus, Zeitstempel, URL, Benutzername und Windows-Ereignismeldung.

Policies

Diese Funktion findet sich in dem Admin Menü. Hier können Sie zahlreiche verschiedene Aspekte der Client-Schutzrichtlinie konfigurieren. Beispiele sind Scans, ob die Endpunkt-GUI auf dem Client angezeigt werden soll, Protokollierung, Einstellungen für Malware-Scans, Abfragehäufigkeit, Manipulationsschutz, Scan-Ausschlüsse, Management-Server-Adresse und Einstellungen für die Malware-Erkennung. Scans können so eingestellt werden, dass sie nach einem Zeitplan, nach einer Signaturaktualisierung oder nach dem Hochfahren des Geräts ausgeführt werden.

Host Sets

Dies sind einfach Gruppen von Computern. Sie können nach einer Vielzahl von Kriterien oder einfach durch Ziehen und Ablegen aus der Liste aller Geräte definiert werden. Diese Gruppen werden verwendet, um verschiedene Schutzrichtlinien anzuwenden. Die Funktion befindet sich im Admin Menü.

Agent Versions

Diese Funktion findet sich im Admin Menü, dort können Sie aktuelle und ältere Versionen des Endpunkt-Agenten für Windows- und Mac-Systeme herunterladen. So kann der Administrator z.B. Kompatibilitätsprobleme mit einer bestimmten Agentenversion auf bestimmten Systemen vermeiden.

Appliance Settings

Auf dieser Seite können Sie die Einstellungen für die Verwaltungskonsole selbst ändern; sie befindet sich auf der Seite Admin . Es gibt Steuerelemente für Datum und Uhrzeit, Benutzerkonten, Benachrichtigungen, Netzwerkeinstellungen und Lizenzen und vieles mehr.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .msi-Format können von der Seite Admin Menü , öffnet Agent Versions, heruntergeladen werden. Wie der Name schon sagt, werden die aktuelle und eine oder zwei frühere Versionen des Clients bereitgestellt. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Abgesehen von den Erkennungswarnungen wird auf dem Endpoint keine Benutzeroberfläche angezeigt.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte FireEye die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Benachrichtigung angezeigt, aber es war keine Benutzeraktion erforderlich oder möglich.

Das Fortinet-Paket, das für die AV-Comparatives’ Enterprise Main Test Series 2021 verwendet wurde, besteht aus der Endpunkt-Software FortiClient und der entsprechenden EMS-Verwaltungskonsole, FortiSandbox und FortiEDR-Agent/Verwaltungskonsole. Für diesen Test haben wir uns auf die FortiEDR-Verwaltungskonsole und den entsprechenden Endpunkt-Agenten konzentriert. Diese Konsole kann über die Cloud genutzt, vor Ort installiert oder als Hybridlösung betrieben werden.

FortiEDR-Verwaltungskonsole

Die Konsole wird über eine einzige Menüleiste gesteuert, die sich am oberen Rand befindet. Die Elemente sind Dashboard, Event Viewer, Forensics, Communication Control, Security Settings, Inventory, und Administration.

Dashboard Seite

Die oben gezeigte Seite Dashboard verwendet Felder mit Balken- und Doughnut-Diagrammen, um einen grafischen Überblick über Bedrohungen und verdächtige Prozesse zu geben. Sie können die Anzahl der Prozesse sehen, die im Netzwerk gefunden wurden, kategorisiert als Malicious, Suspicious, PUA, Inconclusive und Likely Safe. Der Bereich Collectors (auf Client-PCs installierte Agenten) zeigt den aktuellen Status von Geräten im Netzwerk an. Diese können als Running, Degarded, Disconnected, Pending Reboot oder Disabled angezeigt werden. Außerdem gibt es eine Übersicht über die bösartigen Prozesse, die die meisten Endpunkte angegriffen haben. Eine Weltkarte zeigt Ihnen die Ziele der häufigsten Netzwerkverbindungen. Wenn Sie mit der Maus über die Nadel fahren, die ein bestimmtes Land anzeigt, können Sie die IP-Adressen sehen, zu denen die Verbindungen hergestellt wurden. Viele der Dashboard-Felder sind anklickbar. Wenn Sie zum Beispiel auf das Diagramm Security Events klicken, gelangen Sie zur Seite Events.

Events Seite

Die Seite Events wird durch Klicken auf Ereignisanzeige in der oberen Menüleiste aufgerufen. Hier werden alle vom System erkannten und blockierten Sicherheitsvorfälle angezeigt. Diese können u.a. nach Prozess, Klassifizierung, Ziel oder Datum/Uhrzeit sortiert werden. Zu jedem Ereignis werden Details angezeigt, einschließlich der Klassifizierung als Malicious, Suspicious, Inconclusive, PUP oder Likely Safe. Das Advanced Data-Panel (Screenshot unten) zeigt eine grafische Darstellung der Prozessausführung, andere beteiligte Prozesse und Analysedetails. Durch die Auswahl eines Ereignisses kann der Benutzer eine Untersuchung starten, indem er auf Forensics klickt, wodurch das Ereignis auf der Seite Forensics\Events geöffnet wird.

Forensics\Threat Hunting Seite

So kann der Administrator im Stealth-Modus nach Bedrohungen suchen und diese beseitigen.

Communication Control\Applications Seite

Dies ermöglicht das virtuelle Patchen von anfälligen Kommunikationsanwendungen.

Security Settings\Security Policies Seite

Hier können Sie die Sicherheitseinstellungen für vernetzte PCs konfigurieren. Es gibt 5 verschiedene Richtlinien: Execution Prevention, Exfiltration Prevention, Ransomware Prevention, Device Control, und eXtended Detection. Für jede Richtlinie kann eine Reihe einzelner Elemente aktiviert oder deaktiviert werden, so dass der Administrator eine fein abgestufte Kontrolle erhält. Zum Beispiel, Execution Prevention umfasst die Posten Malicious File Detected, Suspicious File Detected, Unconfirmed File Detected, Privilege Escalation Exploit Detected, Sandbox Analysis, und Suspicious Driver Load.

Security Settings\Playbooks Seite

Hier können Sie die automatische Reaktion auf Vorfälle konfigurieren. Jedes Playbook (Response Policy) kann den Administrator über einen Vorfall benachrichtigen, das Problem beheben (z.B. durch Beenden von Prozessen, Löschen von Dateien und Bereinigen persistenter Daten) und eine Untersuchung durchführen (z.B. durch Isolieren des betroffenen Geräts und/oder Verschieben in die High Security Group).

Security Settings\Exception Manager und Exclusion Manager Seiten

Auf diesen Seiten können Sie bestimmte Ereignisse und Ereignisströme aus Datenerfassungsprozess zur Threat-Jagd ausschließen.

Inventory\Collectors Seite

Hier erhalten Sie einen Überblick über die geschützten Geräte. Für jedes Gerät können Sie den Hostnamen, den letzten Benutzer, das Betriebssystem, die IP-Adresse, die MAC-Adresse, die Version des Agenten, den Status und das zuletzt gesehene Datum sehen. Wenn Sie Geräte auswählen, können Sie über die Schaltflächen am oberen Rand der Seite Aufgaben für sie ausführen. Dazu gehören Move to Group, Delete, Isolate und Uninstall.

Administration Seite

Hier können Sie u.a. Lizenzen, Benutzer und Verteilerlisten verwalten.

Windows Endpoint Protection-Client

Deployment

Es werden Installationsdateien im MSI-Format bereitgestellt. Es gibt getrennte Editionen für 32- und 64-Bit-Systeme. Die Installationsprogramme können manuell, über ein Systemverwaltungsprodukt oder über Active Directory ausgeführt werden.

Benutzeroberfläche

Der Endpunkt-Agent verfügt über eine minimalistische Benutzeroberfläche. Über ein Symbol in der Taskleiste können Sie das Protokoll der jüngsten Aktivitäten anzeigen und EDR-Benachrichtigungen für die nächsten 24 Stunden ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware an unseren PC anschlossen und es im Windows Explorer öffneten, ergriff Fortinet zunächst keine Maßnahmen. Es gelang uns, die Malware-Samples auf den Windows-Desktop zu kopieren. Als wir jedoch versuchten, sie auszuführen, wurden die schädlichen Dateien sofort erkannt und an Ort und Stelle unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

G Data Endpoint Protection Business bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine serverbasierte Konsole verwaltet, die auf jedem aktuellen Windows Server- oder Windows Client-Betriebssystem installiert werden kann. Innerhalb einer Organisation können mehrere Verwaltungsserver eingesetzt und über eine einzige Konsole verwaltet werden. Für den Schutz virtueller Maschinen steht eine Option zur Verfügung, die einen "Light"-Agenten und einen virtuellen Scan-Server verwendet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Geräten.

Vorteile

• Vertraute, MMC-ähnliche Verwaltungskonsole
• Gruppen können mit Active Directory synchronisiert werden
• Einfache Verwaltung von Computergruppen
• Hoher Grad an Kontrolle über die GUI der Endpunkt-Software
• Eine einzige Installationsdatei für den Verwaltungsserver und den Windows-Endpoint-Protection-Client

Server-Installation

G Data stellt ein einziges Installationspaket zur Verfügung, mit dem Sie sowohl die Verwaltungskonsole als auch die Endpoint-Protection-Software einrichten können. Mit dem Assistenten für die Konsoleninstallation können Sie eine vorhandene SQL Server-Installation verwenden, wenn Sie eine haben. Alternativ kann er den SQL Server 2014 Express zusammen mit der Verwaltungssoftware installieren. Die Installation ist sehr schnell und einfach, und Sie können sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Die integrierte Authentifizierung von G Data ist als Option verfügbar.

Management Console

Mit den Schaltflächen Management Server und Clients in der linken oberen Ecke können Sie zwischen den jeweiligen Computertypen wechseln. Unter Verwaltungsserver können Sie Elemente für Ihre(n) Verwaltungsserver konfigurieren. Dazu gehören Konsolenbenutzer, die Synchronisation mit Clients/Subnet-Servern/Active Directory, die Verteilung von Software-Updates und die Lizenzverwaltung. Der Rest der Konsolenbeschreibung bezieht sich auf die Seiten der Clientverwaltung.

Clients Seite

Hier können Sie die Gerätegruppenstruktur für jeden Verwaltungsserver sehen und darin navigieren. Standardmäßig gibt es separate Gruppen für Computer (Windows, macOS und Linux) und Android-Mobilgeräte. Sie können leicht eigene Untergruppen innerhalb dieser Gruppen erstellen und sie können mit Organisationseinheiten synchronisiert werden, wenn Sie Active Directory verwenden. Sie können den G Data Endpoint Security Client automatisch auf Computern installieren, indem Sie sie einfach zu einer bestimmten synchronisierten Gruppe hinzufügen. Die Gruppenstruktur im Bereich Clients ermöglicht Ihnen auch die Überwachung, Verwaltung und Konfiguration von Geräten auf der Grundlage der Gruppenmitgliedschaft. Wenn Sie im Bereich Clients auf die oberste Gruppe klicken, werden die im Hauptbereich vorgenommenen Konfigurationsänderungen (z. B. Client Settings) auf alle Computer angewendet. Wenn Sie auf eine Untergruppe klicken, wirken sich die vorgenommenen Änderungen nur auf die Geräte in dieser Gruppe aus. Sie können die Konfiguration eines Geräts ändern, indem Sie es einfach in eine Gruppe mit einer anderen Richtlinie verschieben.

Dashboard Seite

Für den ausgewählten Server oder die Gruppe bietet die oben gezeigte Standardseite Dashboard der Konsole eine grafische Anzeige von 4 wichtigen Statuselementen. Der erste ist der Status der einzelnen Komponenten, der anzeigt, welcher Anteil der Geräte korrekt konfiguriert ist. Dann gibt es den Anteil der Geräte, die sich kürzlich mit der Konsole verbunden haben. Sie können auch sehen, bei welchen Clients die meisten Bedrohungen erkannt wurden. Schließlich gibt es noch eine Zeitleiste mit wichtigen Ereignissen.

Clients Seite

Unter Überblick Tab der, oben gezeigten, Clients Seite zeigt eine Liste der verwalteten Geräte an. Sie können Informationen wie Status, verwendete Definitionen, Client-Version und Betriebssystem einsehen. Die Spalten sind anpassbar. So können Sie auch den letzten aktiven Benutzer und verschiedene Netzwerkelemente wie IP-Adresse und DNS-Server anzeigen. Sie können Computer nach den Daten in einer der Spalten gruppieren, indem Sie die Spaltenüberschrift auf die graue Leiste direkt darüber ziehen. Über die Schaltflächen in der oberen Reihe können Sie verschiedene Aufgaben auf den Computern ausführen. Dazu gehören das Installieren oder Deinstallieren von Client-Software, das Aktualisieren von Definitionen & Software und das Löschen von Geräten. So können Sie z.B. Computer nach Virus signature update/time, gruppieren und dann eine Aktualisierungsaufgabe für alle veralteten Dateien ausführen. Die Software Schaltfläche, in der oberen Symbolleiste, bietet eine detaillierte Übersicht über die auf dem/den Client-Gerät(en) installierten Programme. Hardware zeigt grundlegende Systemdetails wie CPU, RAM und freien Speicherplatz an.

Client settings Seite

Auf den Seiten Client settings können Sie einige Optionen wie automatische Signatur- und Programm-Updates konfigurieren. Sie können den Benutzern auch ein gewisses Maß an Interaktion mit der Endpunktsoftware auf ihren PCs erlauben. So können Sie ihnen beispielsweise erlauben, Scans durchzuführen und/oder die lokale Quarantäne anzuzeigen.

Wie zu erwarten, können Sie auf der Seite Tasks den Status der von Ihnen eingerichteten Aufgaben, z.B. der Installation, einsehen. Logs bietet eine detaillierte Liste relevanter Ereignisse. Dazu gehören Malware-Erkennungen, Updates und Einstellungsänderungen. Statistics listet den Status einzelner Schutzkomponenten auf, wie z.B. Email Protection und Anti-Ransomware.

In der linken unteren Ecke der Konsole finden Sie eine Reihe von Verknüpfungen zu bestimmten Seiten. Die, unten gezeigte, Security Seite, die unten im Bild gezeigt ist, listet Malware-Erkennungen auf. Zu den Details gehören Client-Name, Status (durchgeführte Aktion), Datum und Uhrzeit, Erkennungskomponente, Name des Threats, Dateiname, Speicherort und Benutzer. Durch Auswahl eines oder mehrerer Objekte können Sie Maßnahmen ergreifen, wie z.B. das Löschen oder Wiederherstellen von unter Quarantäne gestellten Objekten.

Auf der Seite Info werden Ereignisinformationen wie Softwareinstallation und Client-Neustart angezeigt. Die Seite Signatures zeigt Konfigurationsoptionen für Definitionsupdates an. Hier können Sie auch ein Update mit einem einzigen Klick starten. Program prüft, ob die Management-Konsole selbst die neueste verfügbare Version ist.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint-Protection-Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Bei der ersten Verwendung der Konsole wird ein Bereitstellungs-Assistent ausgeführt, mit dem Sie die Endpunkt-Software über das Netzwerk an die Clients verteilen können. Auf diese Weise können Sie E-Mail-Benachrichtigungen z.B. für die Erkennung von Malware oder veralteten Clients einrichten. Außerdem besteht die Möglichkeit, "DeepRay" zu aktivieren, um getarnte Malware zu erkennen, sowie "BEAST", die neueste Behavior-Blocking-Technologie von G Data. Dieser Assistent kann jederzeit über das Admin-Menü erneut gestartet werden. Alternativ können Sie das Installationsprogramm manuell auf einzelnen Client-Geräten ausführen oder ein Systemmanagement-Produkt oder eine Active Directory-Integration verwenden. Um den Client mit einem Management-Server zu verbinden, müssen Sie lediglich den Hostnamen oder die IP-Adresse des Servers in den Setup-Assistenten eingeben.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht lediglich aus einem Symbol in der Taskleiste. Über dieses Symbol können Definitionsaktualisierungen ausgeführt und Programminformationen angezeigt werden. Standardmäßig werden keine weiteren Funktionen bereitgestellt. Wenn Sie jedoch die Richtlinie ändern, können Sie den Benutzern die Durchführung von Scans (Schnell-, Voll-, benutzerdefinierte Scans und Rechtsklick), die Anzeige der Quarantäne und die Konfiguration von Schutzkomponenten ermöglichen. Diese können einzeln ausgewählt werden. Sie können das gesamte Programm mit einem Passwort schützen, so dass nur autorisierte Benutzer Zugriff auf die Funktionen haben. Es ist auch möglich, das Symbol im System Tray auszublenden, so dass das Produkt unsichtbar bleibt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte G Data die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung (Screenshot unten) angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

K7 Cloud Endpoint Security Advanced bietet Endpoint-Protection-Software für Windows-Clients und -Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt ist für Unternehmen jeder Größe konzipiert. Unserer Meinung nach ist es besonders für kleinere Unternehmen und weniger erfahrene Administratoren geeignet.

Vorteile

• Geeignet für Kleinstunternehmen aufwärts
• Leicht zu navigierende Konsole
• Die Hilfeseite, die bei der ersten Anmeldung angezeigt wird, bietet eine Anleitung für die Konsole
• Einfach zu bedienende Funktion zur Anwendungssteuerung
• Granulare Kontrolle der im Endpunktschutz-Client angezeigten Funktionen

Management Console

Wenn Sie sich zum ersten Mal anmelden, wird eine Hilfeseite mit kurzen Erläuterungen zu den Funktionen und ihrer Verwendung angezeigt. Der Zugriff auf alle Funktionen der Konsole erfolgt über eine einzige Menüleiste am oberen Rand des Fensters.

Dashboard Seite

Nach der Anmeldung öffnet sich die Konsole auf der Dashboard Seite, die einen Überblick über den Systemstatus gibt. Es gibt verschiedene Detailbereiche, die erkannte Bedrohungen, blockierte Websites, Verstöße gegen die Hardwarerichtlinie, erkannte Schwachstellen, den Sicherheitsstatus des Geräts, die Anzahl der Geräte, auf denen bestimmte Windows-Versionen ausgeführt werden, und eine Zeitleiste der erkannten Threats anzeigen. Es gibt einen Link von dem Device Security Status Panel zur Protected Devices Seite, so dass Sie durch Anklicken der Seite weitere Informationen erhalten.

Groups Seite

Auf der Seite Groups der Konsole werden die von Ihnen erstellten Gerätegruppen aufgelistet. Es gibt Links zu den Richtlinien, die auf jede Gruppe angewendet werden, und eine Liste von Aufgaben (z. B. Scans und Updates), die Sie auf alle Gruppenmitglieder anwenden können.

Devices Seite

Auf der Registerkarte Devices, die im obigen Screenshot zu sehen ist, werden die einzelnen Computer im Netzwerk aufgelistet. Über die Links in der Spalte Aktionen können Sie die Details eines Computers anzeigen, Endpoint Security deinstallieren oder seine Gruppe ändern. Andere Registerkarten der Seite Geräte sortieren Computer in die Kategorien Protected, Unprotected und At Risk. So können Sie auf einen Blick sehen, welche Geräte Ihre Aufmerksamkeit benötigen.

Application Control Seite

Auf der Seite Application Control können Sie festlegen, welche Anwendungen ausgeführt werden oder auf das LAN/Internet zugreifen dürfen. Dies geschieht ganz einfach, indem Sie eine Anwendung aus der Liste auswählen und in der Dropdown-Liste auf Block from Running, Block Internet Access oder Block Network Access klicken. Sie können eine Anwendung, die noch nicht in der Liste enthalten ist, anhand ihres MD5-Hashwerts hinzufügen. Wir weisen darauf hin, dass der MD5-Hashwert einer Datei möglicherweise gefälscht werden kann und schlagen vor, dass SHA256 sicherer ist.

Policies Seite

Auf der Seite Policies können Sie die Einstellungen für die Endpunktsoftware steuern. Diese sind bequem in Gruppen wie Antivirus, Behaviour Protection, Firewall, Web Filtering und Device Control ist oben abgebildet.

Actions Seite

Unter Actions können Sie Aufgaben erstellen, die auf einzelnen Computern oder Gruppen ausgeführt werden. Zu den verfügbaren Aufgaben gehören eine Reihe von Scans und ein Client-Update.

Settings Seite

Auf der Seite Settings können Sie Installationspakete für die Endpunktschutz-Software herunterladen und E-Mail-Benachrichtigungen konfigurieren.

Reports Seite

Die Seite Reports bietet eine sehr einfache Möglichkeit, Berichte über Elemente wie erkannte Bedrohungen und Schwachstellen, blockierte Websites und Scanergebnisse zu erstellen.

Windows Endpoint Protection-Client

Deployment

Auf der Seite Settings können Sie ein Installationspaket (vollständig oder leicht) im .exe-Format herunterladen. Sie können die Gruppe angeben, der der Computer hinzugefügt werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können sie auch direkt von der Download-Seite aus per E-Mail an die Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Benutzer mit Windows-Administratorkonten können daran gehindert werden, die Software zu deinstallieren, indem sie sicherstellen, dass die Einstellung Uninstall Endpoint Security in der entsprechenden Richtlinie deaktiviert ist.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Nutzer können den Schutzstatus anzeigen, Updates ausführen und Schnell-, Voll-, benutzerdefinierte und Rootkit-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklick-Menü von Windows Explorer scannen. Durch Ändern der Richtlinien können Sie den Benutzern die volle Kontrolle über das Programm geben oder es komplett sperren.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte K7 die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Warnmeldungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Kaspersky Endpoint Security for Business (KESB) Select ist eine Stufe der Produktlinie Endpoint Security for Business von Kaspersky. Sie richtet sich an mittlere und größere Unternehmen. Das Produkt bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Das Produkt kann über eine serverbasierte oder eine Cloud-Konsole verwaltet werden. Wir haben uns in diesem Test die Cloud-Konsole angesehen.

Vorteile

• Wahlweise Server- oder Cloud-basierte Verwaltungskonsole
• Einfache Navigation der Konsole über ein einziges Menü
• Einrichtungsassistent für eine vereinfachte Client-Installation
• Webschnittstelle kann angepasst werden
• Granulare rollenbasierte Zugriffskontrolle für Konsolen-Administratoren

Management Console

Die Funktionen der Konsole sind in einer einzigen Menüspalte auf der linken Seite angeordnet. Die Hauptmenüpunkte sind Monitoring & Reporting, Devices, Users & Roles, Operations, und Discovery & Deployment. Jeder dieser Punkte lässt sich erweitern und zeigt Unterseiten an.

Monitoring and Reporting Section

Die Seite Dashboard (siehe oben) bietet einen grafischen Überblick über die wichtigsten Informationen. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Die Seite ist anpassbar, und Sie können verschiedene Bereiche (Web Widgets) nach Belieben hinzufügen oder entfernen.

Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können einfach aus einer vorkonfigurierten Liste abgerufen werden.

Unter Event können Sie Berichte über Kategorien wie Benutzeranfragen, kritische Ereignisse, Funktionsfehler und Warnungen erstellen.

Devices Section

Auf der Seite Policies and Profiles können Sie neue Konfigurationsrichtlinien erstellen und anwenden. Auf der Seite Tasks können Sie alltägliche Wartungs- und Sicherungsaufgaben, wie z. B. Updates, durchführen.

Die oben gezeigte Seite Managed Devices listet verwaltete Computer zusammen mit dem Status der wichtigsten Komponenten auf. Sie können die Liste nach Kriterien wie Status, Echtzeitschutz oder letzter Verbindungszeitpunkt filtern. Die Liste ist anpassbar, so dass Sie zusätzliche Kriterien wie Betriebssystem oder Netzwerkdetails hinzufügen können. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören die Installation, Deinstallation oder die Änderung der Gruppenmitgliedschaft.

Sie können auf den Namen eines einzelnen Computers klicken, um dessen Detailseite anzuzeigen. Hier sehen Sie verschiedene Details des Geräts, die auf verschiedenen Tabs angezeigt werden. Dazu gehören Betriebssystem, Netzwerkinformationen, Schutzstatus, installierte Kaspersky-Anwendungen, aktive Richtlinien sowie laufende Schutzkomponenten und Aufgaben. Auf der Seite Events finden Sie detaillierte Informationen zur Erkennung und Beseitigung von Malware.

Die folgende Abbildung zeigt drei verschiedene Phasen einer Malware, nämlich die Erkennung, die Erstellung einer Sicherungskopie und die Löschung:

Auf der Seite Device Selections können Sie Geräte in vorkonfigurierten Gruppen finden. Beispiele sind Databases are outdated und Devices with Critical Status.

Users & Roles Section

Unter Users sehen Sie eine Liste der vordefinierten Konsolenbenutzer sowie die lokalen Windows- und Domänenkonten für die Windows-Computer im Netzwerk. Auf der Seite Rollen kann den Benutzern eine von 13 verschiedenen Verwaltungsrollen für die Konsole zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Operations Section

Unter anderem enthält der Operations Tab Licensing und Repositories. Letzteres umfasst die Quarantänefunktionen, Installationspakete und Details zur Hardware der verwalteten Geräte. Unter Patch Management\Software Vulnerabilities können Sie (unter anderem) fehlende Windows-Updates sehen:

Discovery & Deployment Section

Dazu gehören verschiedene Funktionen zur Erkennung von nicht verwalteten Geräten im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Mit Discovery können Sie nach Geräten im Netzwerk suchen, z. B. nach IP-Adressbereichen oder Arbeitsgruppen-/Domänenzugehörigkeit. Unassigned Devices zeigt Computer an, die im Netzwerk gefunden wurden, aber noch nicht verwaltet sind.

Windows Endpoint Protection-Client

Deployment

Bei der ersten Verwendung der Konsole wird ein Bereitstellungsassistent ausgeführt, mit dem Sie die Endpoint-Software über das Netzwerk auf die Clients übertragen können. Dieser Assistent kann später über Discover & Deployment\Deployment & Assignment\Quick Start Wizardausgeführt werden. Das ist ein sehr sauberer und einfacher Prozess. Die Endpoint-Protection-Software kann auch über ein Systemverwaltungsprodukt oder Active Directory bereitgestellt werden. Alternativ können Sie auch ein eigenständiges Installationspaket herunterladen, unter Discovery & Deployment\Deployment & Assignment\Installation Packages.

Benutzeroberfläche

Die Windows Desktop-Schutz-Anwendung besteht aus einem Symbol in der Systemablage und einem Programmfenster. Über das Rechtsklick-Menü des Windows Explorers können Nutzer manuelle Untersuchungen von lokalen und entfernten Laufwerken, Ordnern oder Dateien durchführen. Sie können auch Dateien auf ihre Reputation im Kaspersky Security Network prüfen, ebenfalls über das Kontextmenü des Explorers. Wenn Sie möchten, können Sie die Benutzeroberfläche mithilfe der entsprechenden Richtlinie vollständig ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows-Explorer öffneten, erkannte Kaspersky die schädlichen Dateien nach wenigen Sekunden und isolierte sie. Es wurde kein Warnhinweis angezeigt. Sie können jedoch Warnungen über eine Richtlinie aktivieren, wenn Sie dies wünschen.

Über das Produkt

Malwarebytes EDR bietet Endpunktschutz für Windows- und macOS-Workstations sowie für Windows-Server. Dieser wird über eine Cloud-basierte Konsole verwaltet. Dank seiner Benutzerfreundlichkeit eignet sich das Produkt für kleinere Unternehmen, kann aber auch mit Zehntausenden von Geräten umgehen.

Vorteile

• Leicht zu navigierende Cloud-Konsole
• Seiten können leicht angepasst werden
• Die anklickbare Oberfläche macht es einfach, mehr Details zu finden
• Schutz vor Brute-Force-Angriffen
• Client-Software-Inventar

Management Console

Die Navigation in der Cloud-Konsole erfolgt über eine einzige, übersichtliche Menüspalte auf der linken Seite. Die Elemente sind Dashboard, Endpoints, Inventory, Detections, Quarantine, Active Block Rules, Suspicious Activity, Flight Recorder, Reports, Events, Tasks, Downloads, und Settings. Letztere wird erweitert, um die zusätzlichen Elemente anzuzeigen Policies, Schedules, Exclusions, Groups, Users, Syslog Logging, Single Sign-on, and APIs & Integrations.

Dashboard-Seite

Diese ist im obigen Screenshot dargestellt. Es bietet einen Überblick über relevante Security-Informationen in verschiedenen Bereichen, viele davon mit grafischen Darstellungen. Die obersten davon sind Endpoints by status, Detections per day, Detections cleaned, Detections by category, und Detections by status. Standardmäßig werden 15 Bereiche angezeigt. Das Dashboard kann jedoch leicht angepasst werden, so dass Sie nach Belieben Bereiche hinzufügen, entfernen oder verschieben können. Die einzelnen Elemente in dem Endpoints by status Panel sind mit gefilterten Seiten verknüpft, auf denen die betreffenden Geräte angezeigt werden. Klicken Sie also zum Beispiel auf Scan Needed , wird eine Liste mit genau diesen Geräten angezeigt. Das gleiche Prinzip wird bei einigen anderen Feldern angewendet. Wenn Sie mit der Maus über die Balkendiagramme fahren, wird ein Popup-Fenster mit weiteren Details angezeigt.

Endpoints Seite

Hier sehen Sie die geschützten Computer in Ihrem Netzwerk. Sie können für jedes Gerät die zugewiesene Gruppe, das Datum, an dem es zuletzt gesehen wurde, den letzten Benutzer, den Betriebssystemtyp, die angewandte Richtlinie und den Status sehen. Wenn Sie ein oder mehrere Endgeräte auswählen, können Sie Aufgaben aus dem Actions Menü. Beispiele sind Scannen, Aktualisieren, Neustarten und Isolieren.

Inventory Seite

Hier sehen Sie die gesamte Software, die auf den Computern in Ihrem Netzwerk installiert ist. Für jede Anwendung können Sie die Versionsnummer, das Installationsdatum, den Namen des Endpunkts und das Betriebssystem sehen.

Detections Seite

Wie zu erwarten, werden hier Instanzen von Malware angezeigt, die auf Netzwerkcomputern gefunden wurden. Sie können den Namen der Threats, die durchgeführte Aktion, den Typ der Bedrohung, den betroffenen Endpunkt, den lokalen Pfad und Datum/Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen eines Threats klicken, öffnet sich ein Fenster mit einer Zusammenfassung der Informationen zu dieser Erkennung.

Quarantine Seite

Hier wird unter Quarantäne gestellte Malware angezeigt, die auf geschützten Geräten erkannt wurde. Sie können den Namen und den Pfad der Threats, den Bedrohungstyp, den Gerätenamen sowie Datum und Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen eines Threats klicken, wird ein Fenster mit Details zu dieser bestimmten Erkennung angezeigt. In Quarantäne gestellte Elemente können einzeln oder alle zusammen ausgewählt und über das Actions Menü einzeln oder alle zusammen ausgewählt und aus der Liste der erkannten Bedrohungen gelöscht oder wiederhergestellt werden.

Reports Seite

Damit können Sie Berichte zu einer Vielzahl von Themen erstellen: Assets Summary, Detections Summary, Endpoints Summary, Events Summary, Quarantine Summary, Tasks Summary, und Weekly Security Report. Diese können auf täglicher, wöchentlicher oder monatlicher Basis geplant und per E-Mail an den Administrator (und auf Wunsch an weitere Empfänger) gesendet werden. Der Weekly Security Report bietet einen einfachen Überblick über die Sicherheitslage und zeigt Kacheln an, die Statistiken für Endpoint activity status, Endpoint protection summary, Endpoints needing attention, Top 5 operating systems, und Threats. Zur Hervorhebung der Statistiken wird ein Ampel-Farbsystem verwendet, wobei z.B. kritische Punkte rot dargestellt werden.

Downloads Seite

Auf dieser Seite finden Sie Installationsdateien für alle unterstützten Betriebssysteme.

Settings\Policies Seite

Hier können Sie die Richtlinien konfigurieren, die die Einstellungen für geschützte Geräte festlegen. Oben auf der Seite befinden sich Elemente, die für alle Betriebssysteme gelten, z.B. Endpunktschnittstelle, Manipulationsschutz, Software-Updates und Maßnahmen bei inaktiven Geräten. Darunter befinden sich separate Registerkarten für die verschiedenen unterstützten Betriebssysteme (Windows, macOS und Chrome OS). Jedes Betriebssystem hat zwei untergeordnete Seiten, General und Settings. Für Windows-Geräte können Sie unter anderem Neustartoptionen, verschiedene Scan-Optionen, Echtzeitschutz, Brute-Force-Schutz und die Integration mit dem Windows Action Center konfigurieren. Mit dem Brute-Force-Schutz können Sie sich z.B. gegen bösartige Remotedesktop-Verbindungen wehren.

Windows Endpoint Protection-Client

Deployment

Auf der Seite Downloads der Konsole können Sie Installationsprogramme herunterladen oder Links zur Installation per E-Mail versenden. Sie haben die Wahl zwischen .exe- und .msi-Installationsdateien; letztere haben spezielle Versionen für 32- und 64-Bit-Systeme. Der Setup-Assistent ist sehr schnell und einfach und sollte für nicht erfahrene Benutzer keine Probleme bereiten. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie den Abschnitt Tamper Protection in der entsprechenden Richtlinie verwenden.

Benutzeroberfläche

Der Malwarebytes-Endpoint-Client hat eine minimalistische Benutzeroberfläche. Es gibt ein Symbol in der Systemablage, über das die Benutzer einen Scan starten können. In einem kleinen Fenster wird dann der Scan-Status angezeigt. Nutzer können ein Laufwerk, einen Ordner oder eine Datei auch über das Rechtsklickmenü des Windows Explorers scannen. Das Symbol in der Systemablage kann per Richtlinie ausgeblendet werden, wenn Sie dies wünschen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware an unseren PC anschlossen und es im Windows Explorer öffneten, reagierte Malwarebytes zunächst nicht. Wir konnten die Malware-Samples auf den Windows-Desktop kopieren. Als wir jedoch versuchten, sie auszuführen, wurden die schädlichen Dateien sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die den Dateinamen, den Pfad und den Erkennungsnamen der Malware enthielt. Eine Benutzeraktion war weder erforderlich noch möglich, und die Meldung wurde nach wenigen Sekunden geschlossen.

Über das Produkt

Microsoft Endpoint Manager ermöglicht Administratoren die zentrale Verwaltung und Überwachung von Funktionen und Einstellungen auf allen Arten von Geräten. In diesem Bericht haben wir nur die Funktionen der Verwaltungskonsole behandelt, die sich auf die Endpoint-Security von Microsoft Defender Antivirus beziehen, Microsofts eigenem Antivirus-Programm, das in das Windows 10-Betriebssystem integriert ist.

Microsoft Endpoint Manager ist für Kunden von Microsofts Cloud-Diensten für Unternehmen verfügbar; die Lizenzierung variiert je nach Art des Abonnements. Er kann zur Verwaltung einer breiten Palette von Microsoft-Funktionen und -Diensten verwendet werden, darunter Microsoft Intune, Configuration Manager, Endpoint Analytics, endpoint security, tenant-attach, co-management, und Windows Autopilot.

Vorteile

• Steuert alle Windows-Security Einstellungen
• Die Konsole ist konfigurierbar
• Außergewöhnlich einfache Client-Bereitstellung
• Geeignet für Unternehmen jeder Größe, die Microsoft Cloud Services für Unternehmen nutzen
• Granulare Kontrolle der Security-Optionen

Management Console

Endpoint Security | Überblick Seite

Dies ist im obigen Screenshot zu sehen. Es ist das Haupt-Dashboard für die Endpoint-Security-Funktionen der Plattform. Hier sehen Sie einen Überblick über die einzelnen Schutzkomponenten, die konfiguriert werden können. Beispiele sind Antivirus, Disk Encryption, und Firewall. Hier können Sie auch Security Baselinessehen. Dies sind Richtlinienvorlagen mit empfohlenen Einstellungen für alle relevanten Security-Funktionen in Windows. Es gibt Baselines für Windows 10 Security, Microsoft Defender for Endpoint, und Microsoft Edge. Microsoft teilt uns mit, dass diese häufig aktualisiert werden.

Endpoint Security | Antivirus Seite

Die Registerkarte Summary (siehe oben) bietet einen Überblick über den Sicherheitsstatus Ihres Netzwerks. Sie zeigt die Anzahl der Windows 10 unhealthy endpoints (Geräte mit sicherheitsrelevanten Problemen) und Aktive Malware across categories (eine Aufschlüsselung der gefundenen Malware-Typen).

Unter diesem, lässt Sie AV policiesIhre eigenen Antivirus-Richtlinien erstellen und bearbeiten. Microsoft Defender Antivirus policies lässt Sie Einstellungen für Malware-Schutzfunktionen festlegen. Diese sind in Kategorien unterteilt: Cloud Protection, Microsoft Defender Antivirus Exclusions, Real-Time Protection, Remediation, Scan, Updates und User Experience.

Die Konfigurationsoptionen für jede Kategorie sind übersichtlich in einer Liste angeordnet, wobei jedes Element über ein eigenes Dropdown-Menü für seine Einstellungen verfügt. Eine kleine Informationsschaltfläche neben jedem Element zeigt eine kurze Erläuterung der Komponente und ihrer Einstellungen an. Beispiele für Optionen, die in dem Real-Time Protection Abschnitt zu finden sind, sind Turn on real-time protection, Enable on-access protection, Turn on behaviour monitoring, Enable network protection, und den Scan scripts that are used in Microsoft browsers.

Die Kategorie User Experience hat nur eine Einstellung: Allow user access to Microsoft Defender app. Wenn Sie diese Einstellung deaktivieren, wird die Oberfläche von Microsoft Defender Antivirus (Windows Security) ausgeblendet und Malware-Warnungen auf Client-Geräten werden unterdrückt. Die Security Experience-Richtlinien bieten jedoch einen viel detaillierteren Ansatz. Sie ermöglichen es Ihnen, bestimmte Oberflächenbereiche der Windows Security-App auszublenden, z.B. Firewall and Network Protection oder App & Browser Control.

Es gibt noch eine dritte Kategorie von Maßnahmen, Microsoft Defender Antivirus exclusions, die es Ihnen ermöglicht, Scan-Ausschlüsse zu konfigurieren.

Die Registerkarte Windows 10 unhealthy endpoints der Seite Endpoint Security\Antivirus zeigt einen Bericht über Geräte an, die Aufmerksamkeit erfordern. Zu den Details gehören der Status des Malware-Schutzes, des Echtzeitschutzes und des Netzwerkschutzes. Wie bei anderen Seiten können Sie das Layout mithilfe der Spaltenauswahl ändern, um Felder zu modifizieren, zur besseren Suche in eine Rasteransicht wechseln, nach einer beliebigen Spalte sortieren und die Liste der Datensätze in eine .csv-Datei exportieren, um sie lokal zu speichern. Über eine Reihe von Schaltflächen am oberen Rand der Seite können Sie ausgewählte Computer einfach neu starten oder Schnell- bzw. Vollscans und Updates für sie durchführen.

Auf der Registerkarte Windows 10 detected malware können Sie Geräte und Benutzer mit aktiver Malware sehen. Diese Ansicht enthält Details wie den Malware-Status, aktive Malware, Kategorie und Schweregrad. Sie können hier Remote-Aktionen wie Neustart, Schnellüberprüfung, vollständige Überprüfung oder Aktualisierung von Signaturen durchführen, um das Problem zu beheben.

Devices | All devices Seite

Hier können Sie eine vollständige Liste der Geräte in Ihrem Netzwerk sehen. Die Standardspalten zeigen den Gerätenamen, den Verwalter, den Eigentümer, die Konformitätsplattform, die Betriebssystemversion und Datum/Uhrzeit des letzten Kontakts. Sie können die Seite anpassen, indem Sie Spalten, die Sie nicht benötigen, entfernen und andere hinzufügen. Zu den Möglichkeiten gehören Gerätestatus, Anmeldedatum, Sicherheitspatch-Level, Hersteller, Modell, Seriennummer und Wi-Fi-MAC-Adresse. Die Seite Filter am oberen Rand der Seite lässt Sie die Liste nach verschiedenen Kriterien filtern. Beispiele sind Eigentum, Konformität und Betriebssystem. Bulk Device Actions lässt Sie Aufgaben wie Umbenennung, Neustart oder Löschen für die ausgewählten Geräte durchführen. Wenn Sie auf ein einzelnes Gerät klicken, öffnet sich die Device details Seite, siehe unten.

Device details Seite

Hier können Sie den Status der letzten Aufgaben sowie gerätespezifische Informationen wie Hersteller, Modell, Seriennummer und Hauptbenutzer einsehen. Die Menüleiste am oberen Rand der Seite bietet eine Reihe von Verwaltungsoptionen. Sie können Updates und Schnell- oder Vollscans durchführen und das Gerät sperren oder neu starten. Es ist auch möglich, das Gerät zu löschen oder ihm einen Fresh Start zu geben. Letzteres ist das Äquivalent zur Funktion Reset this PC, die man in den Einstellungen von Windows 10 findet. Sie setzt die Software im Wesentlichen auf die Werkseinstellungen zurück, mit Optionen zum Beibehalten oder Löschen von Benutzerdaten.

Windows Endpoint Protection-Client

Deployment

Dies ist extrem einfach, da Microsoft Defender Antivirus bereits in das Windows 10-Betriebssystem integriert ist. Bei einer domänenverbundenen Maschine kann die Verbindung eines Client-Geräts mit Microsoft Endpoint Manager so einfach sein wie die Anmeldung mit einem entsprechenden Geschäftskonto in dem Accounts\Access work or school Abschnitt der Windows-Einstellungen. Automatische Anmeldemethoden über GPO oder Unternehmensverwaltungstools sind ebenfalls für eine breite Bereitstellung von Microsoft Endpoint Manager verfügbar.

Benutzer, die keine Domäne haben oder die einen Computer kaufen, der noch nicht in einer Domäne konfiguriert ist, können ihr Arbeitskonto unter Windows 10 manuell unter Settings | Accounts | Add Work or School Accountmanuell hinzufügen. Wenn sie sich mit diesem Arbeits- oder Schulkonto anmelden, werden die in Microsoft Endpoint Manager konfigurierten Sicherheits- oder Geräteeinstellungen automatisch übernommen.

Benutzeroberfläche

Die Windows Security App auf dem Client-PC ermöglicht den Zugriff auf die Microsoft Defender Antivirus-Funktionalität. Standardmäßig können die Benutzer den Sicherheitsstatus und die Erkennungsprotokolle einsehen und Scans durchführen. Es gibt eine Auswahl von Quick, Full, Custom und Offline Scans. Nutzer können eine Überprüfung eines Laufwerks, eines Ordners oder einer Datei auch über das Rechtsklickmenü des Windows Explorers starten. Wenn Sie es vorziehen, können Sie die Windows Defender-Oberfläche per Richtlinie ausblenden. In diesem Fall werden auf dem Client-PC keine Oberfläche und keine Warnungen angezeigt (der Administrator sieht die Warnungen weiterhin in der Konsole).

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Microsoft Defender die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf die Warnung öffnete jedoch das Microsoft Defender-Fenster mit weiteren Informationen über die Bedrohung. Diese werden auch im Microsoft Endpoint Manager angezeigt.

Über das Produkt

Panda Endpoint Protection Plus on Aether bietet Endpoint-Protection-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Die Verwaltung erfolgt über eine cloudbasierte Konsole. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist.

Vorteile

• Leicht zu navigierende Konsole
• Die anklickbare Oberfläche ermöglicht einen einfachen Zugriff auf Detailseiten
• Netzwerkerkennungsprozess stellt sicher, dass alle Geräte geschützt sind
• Detaillierte Hardware- und Softwareinformationen und Berichte für einzelne Geräte
• Konfigurierbare Menüleiste

Management Console

Status Tab

Eine Statusübersicht finden Sie auf der Seite Status tab/Security Seite (Screenshot oben), die sich standardmäßig öffnet. Es gibt Torten- und Balkendiagramme für die angezeigten Elemente, die Folgendes umfassen Protection Status, Offline Computers, Outdated Protection, und Programs Allowed by the Administrator. Sie können sich durchklicken, um genauere Informationen zu erhalten. Klicken Sie zum Beispiel im Hauptmenü auf die Protection Status Grafik führt Sie dies zur Computer protection status Seite. Die Erkennungsfunktionen "log/quarantine" der Konsole werden durch Klicken auf Threats detected by the antivirusgeöffnet. Hier sehen Sie die betroffenen Computer und ihre IP-Adressen und Gruppen, den Bedrohungstyp und -pfad, die ergriffene Maßnahme (z.B. blocked/quarantined/deleted) sowie Datum und Uhrzeit.

Die Registerkarte Status enthält eine linke Menüspalte, über die Sie weitere Statusseiten öffnen können.

Web access and spam zeigt Kategorien von Websites, wie Webmail, Spiele und Unternehmen, auf die Nutzer zugegriffen haben. Licenses ist selbsterklärend. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzwerks. Es gibt Links für Hardware und Software von verwalteten Computern, sowie Unprotected Workstations und Unprotected Servers. Scheduled reports können Sie die zu versendenden Details und den Zeitpunkt der Versendung individuell festlegen.

Der Abschnitt My Lists ist anpassbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören Unmanaged computers discovered, Computers with duplicate name, Intrusion attempts blocked und Threats detected by the antivirus. So können Sie schnell erkennen, ob es Sicherheitsprobleme gibt, die behoben werden müssen. Über das Briefumschlag-Symbol in der oberen rechten Ecke der Seite können Sie sich per E-Mail geplante Warnmeldungen für die aktuell angezeigte Liste zusenden lassen.

Computers Tab

Die Registerkarte Computer (siehe unten) listet die Computer im Netzwerk auf. Sie können nach verschiedenen Kriterien filtern, darunter Betriebssystem, Hardware und installierte Software. Sie können die Computer auch nach Verwaltungsgruppe anzeigen. Auf dieser Seite werden alle geschützten Computer und mobilen Geräte angezeigt. Sie ist sehr übersichtlich gestaltet und zeigt die wichtigsten Informationen an. Über eine Windows-ähnliche Ordnerstruktur auf der linken Seite können Sie die Geräte nach Betriebssystem, Gerätetyp oder Hardware-/Softwarekriterien filtern.

Auf der Seite "Computer" können Sie auch Computergruppen erstellen und verwalten, die mit Active Directory synchronisiert werden können. Wir würden sagen, dass diese Funktion nicht sehr leicht zu finden ist, da wir die Oberfläche eine Weile erkunden mussten, bevor wir sie gefunden haben.

Wenn Sie auf den Namen eines Computers klicken, wird die unten abgebildete Detailseite für dieses Gerät geöffnet. Hier finden Sie Netzwerk- und Domäneninformationen, Details zum Betriebssystem, die Versionen von Panda Agent und Endpoint Client und vieles mehr. Der Status der einzelnen Schutzkomponenten wird ebenfalls angezeigt. Der Hardware Tab enthält Details zu CPU, RAM, Systemfestplatte und BIOS sowie deren Nutzungsstatistiken. Ein Klick auf Software ermöglicht es Ihnen, Informationen über installierte Programme zu sehen, während Settings die Richtlinien- und Netzwerkkonfigurationen anzeigt. Über eine Menüleiste am oberen Rand der Seite können Sie das Gerät verschieben oder löschen, einmalige oder geplante Scans durchführen, Schutzsoftware neu installieren und den Computer neu starten.

Settings Tab

Auf der Seite Users können Sie Konsolenbenutzer erstellen und ihnen volle Kontrolle oder nur Lesezugriff zuweisen. Auf der Seite Settings/Security können Sie separate Sicherheitsrichtlinien für Computer und mobile Android-Geräte festlegen. Unter My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Malware- und Phishing-Erkennungen, nicht lizenzierte/unverwaltete/ungeschützte Computer und Installationsfehler. Auf der Seite Network settings können Sie die Panda Proxy- und Cache-Server verwalten, die Updates für andere Computer im LAN bereitstellen. Ersterer ist für den Einsatz in isolierten LANs gedacht, letzterer z. B. für Zweigstellen mit Internetverbindungen mit geringer Bandbreite. Im Abschnitt Proxy finden Sie auch die Option Enable real-time communication. Dies ermöglicht eine nahezu sofortige Kommunikation zwischen den Clients und der Management-Konsole. Die Beschreibung in der Konsole weist darauf hin, dass dies ein hohes Volumen an Netzwerkverkehr erzeugen kann.

Tasks Tab

Auf der Registerkarte Tasks können Sie geplante Überprüfungen einrichten.

Menü Einstellungen

Das Einstellungsmenü wird über das Zahnradsymbol in der oberen rechten Ecke der Konsole aufgerufen. Es enthält Hilfe- und Support-Links, Lizenz- und Produktinformationen sowie die Möglichkeit, die Sprache der Konsole in Echtzeit zu ändern.

Windows Endpoint Protection-Client

Deployment

Die Bereitstellungsoptionen finden Sie, indem Sie auf der Seite Computers auf Add Computers klicken. Sie können ein Installationsprogramm im .msi-Format erstellen, das vorkonfiguriert sein kann. Sie können eine Panda- oder Active Directory-Computergruppe angeben und Einstellungen auswählen. Das Installationsprogramm kann dann direkt von der Konsole heruntergeladen oder per E-Mail an die Benutzer gesendet werden. Die manuelle Installation ist extrem schnell und einfach und stellt auch für nicht erfahrene Benutzer kein Problem dar. Sie können die Software mit einem Kennwort schützen, so dass selbst Benutzer mit Windows-Administratorkonten sie nicht deinstallieren können.

Sie können die Software auch über ein Systemverwaltungsprodukt oder ein Active Directory-Skript bereitstellen. Die Option Discovery and Remote Installation ermöglicht es Ihnen zusätzlich, die Software per Remote-Push zu installieren. Der Erkennungsprozess findet alle Computer im Netzwerk, so dass Sie sicher sein können, dass kein Computer ungeschützt ist.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie die Benutzeroberfläche in den Richtlinieneinstellungen vollständig ausblenden. Warnhinweise werden jedoch weiterhin angezeigt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Panda zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie erkannt und gelöscht. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

Sophos Intercept X Advanced bietet Endpoint-Protection-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Diese wird über eine cloudbasierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Es eignet sich für Netzwerke mit Hunderttausenden von Arbeitsplätzen. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

• Investigative Funktionen
• Modernes, leicht zu navigierendes Konsolendesign
• Umfassende Suchfunktion
• Detaillierte Informationen zu Warnhinweisen
• Mit dem Early-Access-Programm können Sie neue Funktionen vorab ausprobieren

Management Console

Die Konsole wird über eine einzige Menüspalte auf der linken Seite navigiert. Einige Elemente wie Threat Analysis Center und Endpoint Protection werden in einer Art Unterkonsole mit einem eigenen Menüfeld geöffnet. Das Layout und die grafische Gestaltung der Konsole bleiben gleich, und Sie können leicht zur Hauptkonsole zurückkehren, indem Sie auf Back to Overview oben in der entsprechenden Menüspalte klicken. Einige Seiten, wie z.B. People, können sowohl von der Haupt- als auch von der Nebenkonsole aus aufgerufen werden. Die Sprache der Benutzeroberfläche kann in Echtzeit über das Benutzermenü in der oberen rechten Ecke geändert werden. Über dasselbe Menü können Sie auch dem Sophos Early-Access-Programm beitreten, so dass Sie kommende Funktionen vor der allgemeinen Veröffentlichung testen können.

Dashboard Seite

Das Sophos Central Dashboard (siehe Screenshot oben) ist die Standard-Landingpage, wenn Sie sich bei der Konsole anmelden. Es zeigt einen Überblick über Bedrohungen und den Geräte-/Benutzerstatus mit farblich gekennzeichneten Grafiken, um die Dinge hervorzuheben. Sie können die Gesamtzahl der Alarme sehen, die auch in nach den Levels hoch, mittel und niedrig unterteilt sind. Die letzten einzelnen Warnungen werden aufgelistet, und Name und Pfad der Bedrohung sowie Gerät und Benutzer werden angezeigt. Die Dashboard-Panels sind mit Detailseiten verknüpft, so dass ein Klick auf das High Alerts-Panel eine Liste dieser Alarme auf der Alerts-Seite anzeigt. Der Bereich Global Security News am unteren Rand ist mit dem Blog Naked Security von Sophos verknüpft und zeigt sicherheitsrelevante Neuigkeiten an.

Alerts Seite

Die Seite Alerts zeigt Ihnen die Anzahl der erkannten Bedrohungen an, sowohl als Gesamtzahl als auch nach Schweregradkategorie. Sie können nach Description, Count und Actions sortieren. Wenn Sie auf einen Eintrag klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen und Links zur Durchführung von Aktionen. Mögliche Aktionen (je nach Kontext) sind Mark As Resolved, Clean Up PUA, und Authorize PUA.

Logs and Reports Seite

Hier wird eine Vielzahl von Standardberichten angezeigt, die ausgeführt werden können. Ein bemerkenswerter Punkt unter Web Control ist das Policy Violators. Hier werden die Benutzer angezeigt, die am häufigsten versucht haben, auf gesperrte Websites zuzugreifen.

Endpoint Protection Section

Die Unterkonsole Endpoint Protection verfügt über Menüeinträge für Dashboard, Logs & Reports, People, Computers, Policies, Settings, und Protect Devices. Die Seite Dashboard ist ähnlich aufgebaut wie ihr Gegenstück in der Hauptkonsole. Sie zeigt viele der gleichen Bereiche an, darunter Most recent threat cases, Devices and users: summary, Web control und Global Security News.

Auf der Seite People können Sie Benutzer und Gruppen verwalten. Dazu gehören Windows-Gerätebenutzer (die automatisch hinzugefügt werden) und auch Konsolenbenutzer. Auf der Detailseite für jeden Benutzer können Sie die Geräte sehen, an denen sich der Benutzer angemeldet hat, und Scans und Updates für diese durchführen.

Auf der Seite Policies können Sie die Konfiguration bearbeiten, die auf die Endpunkte angewendet werden soll. Es gibt separate Richtlinien fürThreat Protection, Peripheral Control, Application Control, Data Loss Prevention, Web Control, Update Management und Windows Firewall. Sie können Richtlinien auf Computer, Benutzer oder Gruppen von beiden anwenden.

Auf der Seite Settings können Sie Optionen konfigurieren, die für das gesamte Netzwerk gelten sollen. Beispiele sind Directory Service, Role Management(Standard- und custom Berechtigungen für Konsolenbenutzer), Tamper Protection, Website Management, Proxy Configuration, Multi-Factor Authentication und Data Loss Prevention Rules. Sie können Installationsprogramme für den Endpunktschutz-Client von der Seite Protect Devices herunterladen.

Unter Computer (Screenshot unten) sehen Sie eine Liste Ihrer Geräte mit Namen, IP-Adresse, Betriebssystemversion, installierten Sophos Produkten, letztem Benutzer, Datum/Uhrzeit der letzten Verwendung und Gruppe. Wenn Sie mit der Maus auf die kleine Schaltfläche rechts neben der IPv4-Adresse fahren, werden IPv6-Adressen angezeigt. Wenn Sie auf Endpoint-Software verwalten klicken, sehen Sie, welche Computer für welche Sophos Software in Frage kommen und auf welchen Computern diese bereits installiert ist. Mit der Schaltfläche Löschen können Sie Geräte aus der Konsole entfernen.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .exe-Format von der Seite Protect Devices herunterladen. Diese können manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können ein Installationsprogramm auch direkt von der Download-Seite aus per E-Mail an Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Einstellung Enable Tamper Protection unter Global Settings verwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen und Standard-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC angeschlossen und das Laufwerk im Windows Explorer geöffnet haben, hat Sophos zunächst keine Maßnahmen ergriffen. Als wir jedoch versuchten, die schädlichen Dateien auf den Windows Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Meldung angezeigt, die nach einigen Sekunden geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Erkennungswarnungen über Richtlinien deaktivieren, wenn Sie dies wünschen.

Über das Produkt

VIPRE Endpoint Cloud bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Die Verwaltung erfolgt, wie nicht anders zu erwarten, über eine Cloud-basierte Konsole. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für sehr kleine Unternehmen mit nur einigen wenigen Arbeitsplätzen sehr gut geeignet ist.

Vorteile

• Gut geeignet für Kleinstunternehmen und aufwärts
• Minimale technische Kenntnisse erforderlich
• Die Konsole lässt sich sehr einfach über ein einziges Menüfeld steuern
• Sehr gut erreichbare, vernetzte Schnittstelle
• Timeline Funktion bietet detaillierte Informationen zur Threat-Historie

Management Console

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Sie bietet einen Überblick über den aktuellen Sicherheitsstatus, wobei verschiedene Bereiche verwendet werden. Die Konsole ist so gestaltet, dass sie sehr gut anklickbar ist. Wenn Sie beispielsweise auf die Anzahl der Outdated Definitions klicken, gelangen Sie auf eine Seite, die Ihnen die betreffenden Geräte anzeigt. Der Hauptbereich Threat Trend zeigt eine Grafik der Bedrohungen, die in der letzten Woche aufgetreten sind. Diese können entweder als Gesamterkennungen (einschließlich des mehrfachen Auftretens einer einzelnen Bedrohung) oder als einzelne Bedrohungen angezeigt werden. In separaten Feldern werden die zehn wichtigsten Erkennungen nach Bedrohung bzw. nach Gerät angezeigt.

Weitere Dashboard-Panels sind: Quarantine Status, Devices Needing Attention, Detection Sources, Web/DNS Blocks, Severity Breakdown, Protection Summary, Agent Version Spread, Research (Blog) und Lizenzierungsinformationen. Jedes Element kann angeklickt werden und verweist auf die entsprechende Detailseite.

Quarantine Seite

Hier sehen Sie eine Liste aller Bedrohungen, die auf einem beliebigen Gerät unter Quarantäne gestellt wurden. Sie zeigt das Datum und die Uhrzeit der Erkennung, den Namen der Threats, die Plattform, die Kategorie der Bedrohung, den Schweregrad, die Quelle (Erkennungsmodul) und die Anzahl der betroffenen Geräte an. Die Liste kann nach Schweregrad, Malware-Kategorie oder Quelle gefiltert werden. Wenn Sie auf den Namen der Threats klicken, wird die Detailseite für diese Bedrohung geöffnet, auf der Sie die unter Quarantäne gestellte Datei löschen oder wiederherstellen können.

Reports Seite

Hier werden Kacheln für eine Reihe von verschiedenen vorkonfigurierten Berichten angezeigt: Threat Detection, Threat Summary, Device Registration, Scan, Web Activity Summary, und License Summary. Threat Summary verwendet eine Zeitleiste sowie Balken- und Kreisdiagramme, um die in der letzten Woche gefundenen Bedrohungen zu visualisieren.

Devices Seite

Die oben gezeigte Seite Geräte listet Netzwerkcomputer auf und zeigt nützliche Informationen an. Dazu gehören Status, Richtlinie, Betriebssystem und Agentenversion. Die Informationsspalten können individuell angepasst werden. Sie können zusätzliche Elemente wie den Benutzer, den letzten Scan, die IP-Adresse oder die letzte Aktualisierung anstelle der Standardspalten hinzufügen. Sie können die Liste der angezeigten Geräte auch nach Plattform, Betriebssystemversion, Status, Richtlinie, Typ (Workstation/Laptop/Server) oder Versionsnummer des Endpunktagenten filtern. Alternativ dazu können Sie über ein Suchfeld Geräte nach Namen suchen. Auf diese Weise können Sie leicht bestimmte Geräte oder Gerätekategorien finden.

Wenn Sie die gesuchten Computer gefunden haben, können Sie über das Menü "Aktionen" Aufgaben für sie ausführen. Verfügbare Aktionen sind: Assign Windows Policy, Full Scan, Quick Scan, Update Definitions, Schedule Agent Update, Reboot Devices, Stop Agent, Uninstall Agent, und Delete Device. Uninstall Agent entfernt die Endpunktsoftware, behält aber die zugehörigen Daten. Dies kann nützlich sein, wenn Sie die Agentenversion neu installieren oder ändern möchten. Delete Device entfernt die zugehörigen Daten und deaktiviert die Lizenz.

Jedes einzelne Gerät hat seine eigene Detailseite mit verschiedenen Registerkarten. Diese sind: Summary (Status usw.); Scans (was wurde gescannt, was wurde gefunden, was wurde getan); Quarantine; Threats (Quelle, Schweregrad und ergriffene Maßnahmen); Web Activity (vom Benutzer besuchte Seiten); Timeline (Scans und Entdeckungen).

Die Funktion Timeline ist unten dargestellt. Sie listet wichtige Systemereignisse wie Scans, blockierte Webseiten und Malware-Erkennungen in chronologischer Reihenfolge auf. Für jedes Ereignis gibt es ein Informationsfeld.

Wenn Sie auf den Namen einer Bedrohung klicken, wird die entsprechende Seite Threat Information geöffnet (siehe unten). Hier werden die Vorkommnisse der Bedrohung in der letzten Woche, die betroffene Schutzkomponente, die ergriffenen Maßnahmen und die von der Bedrohung betroffenen Geräte angezeigt.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Es gibt separate Seiten/Richtlinien für Windows- und macOS-Geräte und separate Standardrichtlinien für Windows-Laptops, Windows-Arbeitsstationen und Windows-Server. Für jede Richtlinie können Sie folgende Optionen konfigurieren: Agent (Benutzeroberfläche und Systemintegration); Scanning (was gescannt werden soll, Zeitplan, USB-Geräte); Active Protection (Empfindlichkeit des Echtzeitschutzes); Web/DNS Protection; E-Mail Protection; Threat Handling; Firewall; IDS (Intrusion Detection System). Auf der Agent Seite besteht die Möglichkeit, bei der Installation des Agenten inkompatible Software, d.h. vorhandene Endpoint-Protection-Software eines anderen Herstellers, zu entfernen. Es gibt eine große Auswahl an verschiedenen Produkten und Versionen. Diese werden aufgelistet, so dass Sie sehen können, ob ein bestimmtes Produkt/eine bestimmte Version automatisch entfernt werden kann.

Exclusions Seite

Hier können Sie Scan-Ausschlüsse konfigurieren. Diese sind mit bestimmten Richtlinien verknüpft.

System Seite

Auf dieser Seite können Sie Benachrichtigungen, Konsolenbenutzer, systemweite Einstellungen und den Site-Namen (Sub-Domain von "myvipre.com") konfigurieren. Wir weisen darauf hin, dass VIPRE über ein separates EU-Rechenzentrum verfügt, um die EU-Datenschutzbestimmungen einzuhalten.
Mit Notifications können Sie u.a. Warnungen für erkannte Bedrohungen einrichten. Sie können die Quelle (Echtzeitschutz, Scan oder E-Mail) und den Mindestschweregrad der Bedrohung angeben, der für die Auslösung der Benachrichtigung erforderlich ist. Anschließend fügen Sie E-Mail-Adressen hinzu, die benachrichtigt werden sollen, und Sie können sogar das Format des E-Mail-Betreffs anpassen. Die E-Mail enthält dann Links, die direkt zu den entsprechenden Seiten der Verwaltungskonsole führen.

Deploy Agents Seite

Auf dieser Seite können Sie Installationsprogramme für den Endpoint Protection Agent verwalten, herunterladen und per E-Mail versenden. Über die Konsole können Sie entscheiden, ob Sie alle Clients automatisch mit dem neuesten Build der Software aktualisieren oder die Software zunächst auf bestimmten Geräten testen möchten. Sie können ein benutzerdefiniertes Installationsprogramm erstellen, das mit einer bestimmten Richtlinie verknüpft ist.

Profile Seite

Hier können Sie die Kontaktinformationen des aktuellen Konsolenbenutzers eingeben und die 2-Faktor-Authentifizierung aktivieren.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .msi-Format für Windows können von der Seite Deploy Agents heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem ein Dienstprogramm auf einem Relais-Computer im LAN installiert wird. Sie können ein Installationsprogramm auch direkt von der Seite Deploy Agents per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Deinstallationsschutz aktivieren in der entsprechenden Richtlinie verwenden. In der Konsole können Sie sehen, wer die Software auf einem bestimmten Gerät installiert hat.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Durch Ändern der Richtlinie können Sie die Benutzeroberfläche vollständig ausblenden oder bestimmten Benutzern mehr Kontrolle geben, z.B. bei der Verwaltung von Scan-Zeitplänen oder der Quarantäne.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte VIPRE die bösartigen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf Show Details öffnete jedoch ein Fenster mit weiteren Informationen über die Bedrohung. Sie können die Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Carbon Black Cloud bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Wie der Name schon sagt, wird diese über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Hunderttausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

• Investigative Funktionen zu Angriffen
• Funktion zur Fernsanierung
• Integration mit VMware vSphere
• Einfache, übersichtliche Benutzeroberfläche
• Die Konsolenseiten können an Ihre Anforderungen angepasst werden

Management Console

Alle wichtigen Funktionen der Konsole befinden sich in einer einzigen Menüspalte auf der linken Seite der Seite. Das macht die Navigation sehr einfach.

Dashboard Seite

Die Seite Dashboard zeigt Ihnen einen Überblick über sicherheitsrelevante Elemente, die in Panels angezeigt werden. Dies sind Alerts, Endpoint Status, Prevented Malware, Top Alerted Assets, Top Alerted Applications und Threat Reports. Im Bereich Getting Started finden Sie Links für allgemeine Aufgaben, wie das Hinzufügen von Konsolenadministratoren. Sie können das Dashboard individuell anpassen, indem Sie Bereiche verschieben und nicht benötigte Bereiche entfernen.

Alerts Seite

Die Seite Alerts zeigt Ihnen eine Liste der Bedrohungen, die auf allen Geräten aufgetreten sind, in chronologischer Reihenfolge. Sie können die Liste nach einer Vielzahl von Kriterien filtern, indem Sie das Menüfeld auf der linken Seite verwenden. Sie können nach Gerät, Prozess, effektiver Reputation, Sensoraktion und mehr filtern. Das Hauptfenster zeigt Datum und Uhrzeit des Alarms, Grund (z. B. Malware-Erkennung), Schweregrad sowie Gerät und Benutzer an. Über die Schaltflächen am rechten Ende jedes Eintrags können Sie die entsprechenden Seiten Alert Triage oder Investigate öffnen oder Maßnahmen ergreifen. Zu den verfügbaren Aktionen gehören das Zurückweisen des Alarms, das Löschen oder die Aufnahme der Datei, die den Alarm ausgelöst hat, in die Whitelist (Enable bypass) oder das Öffnen der entsprechenden VirusTotal-Seite für die Datei.

Investigate Seite

Auf der Seite Investigate können Sie eine chronologische Liste der Ereignisse für jedes einzelne Gerät sehen. Wie auf der Seite Alerts gibt es eine Vielzahl von Filterkriterien, die in einem Panel auf der linken Seite angezeigt werden. Wenn Sie auf die Schaltfläche Actions (Pfeilspitze) klicken, können Sie weitere Informationen über den Prozess, den übergeordneten Prozess, den untergeordneten Prozess und das Gerät anzeigen. So können Sie Netzwerkverbindungen und Programmausführungen überwachen und sich ein detailliertes Bild von sicherheitsrelevanten Ereignissen machen. Über Dropdown-Menüs im Detailbereich können Sie Aktionen wie das Hinzufügen der Datei zu Listen zugelassener oder gesperrter Dateien, die Überprüfung mit VirusTotal, das Löschen oder die Quarantäne durchführen.

Enforce\Policies Seite

Hier können Sie die Einstellungen konfigurieren, die auf Ihre Geräte angewendet werden sollen. Es gibt Einstellungen für die Malware-Erkennung, die On-Access-Erkennung, die Häufigkeit von Updates und die zu verwendenden Server, Scans und die Schnittstelle des Endpunktschutz-Clients. Eine einzige Richtlinie kann für alle Plattformen verwendet werden, d.h. für Windows, macOS und Linux. Die Windows-, Apple- und Pinguin-Symbole zeigen an, auf welche Plattformen eine Konfigurationsoption angewendet werden kann. Administratoren können Richtlinien erstellen, die auf tragbare Geräte angewendet werden, wenn diese sich außerhalb des Firmen-LANs befinden.

Enforce\Malware-Entfernung Seite

Hier sehen Sie eine Liste der unter Quarantäne gestellten schädlichen Objekte, die Sie z.B. untersuchen, in VirusTotal suchen, löschen oder auf die Whitelist setzen können. Malware kann von einem einzelnen Gerät oder von mehreren Geräten gelöscht werden.

Enforce\Cloud-Analyse Seite

Diese Seite zeigt Ihnen die Ergebnisse der Analyse verdächtiger Dateien an.

Endpoints Seite

Die oben abgebildete Seite Endpoints bietet einen Überblick über die Geräte im Netzwerk. Über ein Suchfeld können Sie nach einem bestimmten Client in einem größeren Netzwerk suchen. Für jedes Gerät sind die Details sehr überschaubar gehalten (Status, Benutzer, Details zum Betriebssystem und zur Sensorversion, Richtlinien und letzte Check-in-Zeit). Sie können jedoch ganz einfach mehr Informationen über ein einzelnes Gerät abrufen, indem Sie auf das Pfeilsymbol links neben seinem Namen klicken. Dadurch werden Elemente wie die Scan-Engine-Version, die externe IP-Adresse und der letzte aktive Benutzer angezeigt. Wenn Sie auf den Namen eines Geräts klicken, wird die Seite Investigate für dieses einzelne Gerät geöffnet. Die Schaltfläche Go Live am Ende jedes Geräteeintrags baut eine Fernverwaltungssitzung mit dem Gerät auf. Sie können die auf der Seite Endpoints angezeigten Spalten nach Belieben anpassen und die Filter-Dropdowns verwenden, um die Suche nach bestimmten Geräten einzuschränken. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Aktionen durchführen, z. B. Scans, Updates, Richtlinienänderungen und Sensoraktualisierungen. Sie können ein Gerät auch unter Quarantäne stellen. Dadurch werden alle Netzwerkverbindungen zum und vom Gerät unterbrochen, mit Ausnahme der Verbindungen zur und von der Verwaltungskonsole.

Settings Menü zu finden

Unter dem Menüpunkt Settings können Sie Optionen für die Konsole/das System als Ganzes konfigurieren. Unter Users können Sie die Benutzer der Konsole verwalten. Es gibt 5 Stufen von Berechtigungen, die einem Benutzer zugewiesen werden können, von Level 1 Analyst bis hin zu System Admin. Im Zusammenhang damit steht die Seite Roles, auf der Sie bearbeiten können, was jede Berechtigungsstufe tatsächlich tun kann. Unter Notifications können Sie den Schweregrad der Bedrohung festlegen, bei dem eine Warnung gesendet werden soll, sowie eine E-Mail-Adresse, an die diese gesendet werden soll. Audit Log zeichnet Konsolenbenutzeranmeldungen und Richtlinienänderungen/-zuweisungen auf.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .msi-Format aus dem Menü Sensor Options auf der Seite Endpoints herunterladen. Es stehen 32- und 64-Bit-Pakete zur Verfügung. Sie müssen einen Installationscode eingeben, der im gleichen Menü zu finden ist. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Über den Menüpunkt Send installation request können Sie den Benutzern einen Installationslink und einen Code per E-Mail zusenden. Der Installationsassistent ist einfach und dürfte auch für technisch nicht versierte Benutzer kein Problem darstellen. Sie können verhindern, dass Benutzer mit Windows-Administratorkonten die Software deinstallieren, indem Sie die Sensoreinstellung Require code to uninstall in der entsprechenden Richtlinie verwenden. Carbon Black Cloud lässt sich für die Bereitstellung und Aktualisierung in VMware vSphere integrieren.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Taskleiste und einem kleinen Informationsfenster. Die Nutzer können eine Liste der zuletzt blockierten Bedrohungen sehen. Letztere enthält den Erkennungsnamen und den Dateipfad sowie das Datum und die Uhrzeit der Erkennung. Weitere Funktionen sind nicht vorhanden. Die Benutzeroberfläche kann per Richtlinie vollständig ausgeblendet werden, wenn Sie dies wünschen. Die Integration mit dem Windows Security Center kann über die Konsole aktiviert oder deaktiviert werden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Carbon Black die bösartigen Dateien sofort und stellte sie an Ort und Stelle unter Quarantäne. Es wurde eine Pop-up-Warnung angezeigt, die sich nach einigen Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich, obwohl ein Klick auf Details das Fenster mit der Erkennungsliste des Programms öffnete.