Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Business Security Test 2022 (August – November)

Datum November 2022
Sprache Deutsch
Letzte Revision 8. Dezember 2022

Mit Real-World Protection Test, Malware Protection Test, Performance Test und Produktbewertungen


Datum der Veröffentlichung 2022-12-15
Datum der Überarbeitung 2022-12-08
Prüfzeitraum August - November 2022
Anzahl der Testfälle 629 Real-World
1.005 Malware Protection
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der zweite Halbjahresbericht unserer Business-Haupttestreihe 2022. Er enthält die Ergebnisse des Business Real-World Protection Test (August-November), des Business Malware Protection Test (September), des Business Performance Test (Oktober) sowie der Produktbewertungen.

Bitte beachten Sie, dass die Ergebnisse der Business Main-Test Series nicht mit den Ergebnissen der Consumer Main-Test Series verglichen werden können, da die Tests zu unterschiedlichen Zeiten, mit unterschiedlichen Geräten, unterschiedlichen Einstellungen usw. durchgeführt werden.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Ein entscheidender Punkt für einige Unternehmen ist die Frage, ob sie sich für eine cloudbasierte oder eine serverbasierte Konsole entscheiden. Erstere lässt sich fast sofort einrichten und macht in der Regel eine zusätzliche Konfiguration der Client-Geräte überflüssig. Letztere erfordert mehr Arbeit für den Administrator, bevor alles betriebsbereit ist, einschließlich der Konfiguration von Clients und der Unternehmensfirewall. Dies bedeutet jedoch, dass sich die gesamte Einrichtung in den Räumlichkeiten des Unternehmens befindet und unter der direkten Kontrolle des Administrators steht. Für kleinere Unternehmen mit begrenztem IT-Personal sind cloudbasierte Konsolen möglicherweise eine einfachere Option. Bitte beachten Sie, dass die Hersteller in einigen Fällen sowohl cloudbasierte als auch serverbasierte Optionen für die Verwaltung ihrer Produkte anbieten. Hinweise auf den Konsolentyp beziehen sich hier nur auf das spezifische Produkt, das in unseren Tests verwendet wurde. Wenden Sie sich bitte an den jeweiligen Hersteller, um zu erfahren, ob andere Konsolentypen verfügbar sind.

Avast und VIPRE bieten, einfach zu bedienende, cloudbasierte Konsolen an, die sich besonders für kleinere Unternehmen ohne Vollzeit-IT-Personal eignen würden. All diese würden sich auch für größere Unternehmen eignen und bieten so die Möglichkeit mit dem Unternehmen zu wachsen.

G Data und K7 verwenden serverbasierte Konsolen, die sich für erfahrene Windows-Experten als sehr einfach erweisen werden. Diese können ab dem KMU-Sektor aufwärts eingesetzt werden.

Für Unternehmen derselben Größe, die nach einer cloudbasierten Verwaltung suchen, bieten Bitdefender, ESET, Kaspersky, Microsoft, Sophos und WatchGuard starke und kohärente Lösungen. Acronis, Cybereason, Malwarebytes, und VMware erfordern zwar etwas mehr Lernaufwand, sind aber auch für diese Kategorie von Unternehmen sehr gut geeignet.

Am oberen Ende des Marktes bieten Cisco, CrowdStrike, Elastic und Trellix außergewöhnlich leistungsfähige Werkzeuge. Es sollte sorgfältig geplant werden, wie gut sie zu Ihrem Unternehmen passen, sowohl in seiner jetzigen Form als auch in der Art und Weise, wie Sie es in den nächsten fünf Jahren ausbauen wollen. Sowohl in der Planungs- als auch in der Einführungsphase sind hier eindeutig externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungsaufwand und laufende Unterstützung. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Softwarepaketen völlig unterscheidet.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 64-Bit getestet:

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Einige wenige Anbieter liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen verändert.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Enterprise Tests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performance verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend sind die relevante Abweichungen von den Standardeinstellungen (aufgelistet d.h. von den Anbietern vorgenommene Einstellungsänderungen):

Acronis: “Backup”, “Vulnerability assessment”, “Patch management”, “Device control”, “Data Loss Prevention” und “Data protection map” deaktiviert. “Third-party scan engine” aktiviert.

Avast: “Scan for potentially unwanted programs (PUPs)” wurde in “File Shield”, “Web Shield” und “Mail Shield” aktiviert.

Bitdefender: "Sandbox Analyzer" (für Anwendungen und Dokumente) aktiviert. “Analysis mode” auf “Monitoring” eingestellt. "Scan SSL" für HTTP und RDP aktiviert. "HyperDetect" und “Device Control” deaktiviert. "Update Ring" auf "Fast Ring" geändert. "Web Traffic Scan" und "Email Traffic Scan" für eingehende E-Mails (POP3) aktiviert. “Ransomware Mitigation” aktiviert. “Process memory Scan” für “On-Access scanning” aktiviert. Alle “AMSI Command-Line Scanner” -Einstellungen für “Fileless Attack Protection” aktiviert.

Cisco: "On Execute File and Process Scan" auf "Active" gesetzt; “Exploit Prevention: Script Control” auf “Block” gesetzt; "TETRA Deep Scan File" deaktiviert; “Exclusions” auf "Microsoft Windows Default" gesetzt; Engines "ETHIS", "ETHOS", "SPERO" und "Step-Up" deaktiviert.

CrowdStrike: Alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Sensor Visibility" für "Firmware" deaktiviert. Hochladen von "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

Cybereason: "Anti-Malware" aktiviert; "Signatures mode" auf "Disinfect" eingestellt; "Behavioral document protection" deaktiviert; "Artificial intelligence" und "Anti-Exploit" auf "Moderate" eingestellt; "Exploit protection", "PowerShell und .NET", "Anti-Ransomware" und "App Control" aktiviert und auf "Prevent" eingestellt; "Exploit protection" auf "Cautious" eingestellt; alle "Collection features" aktiviert; "Scan archives on access" aktiviert; Update-Intervall auf 1 Minute eingestellt.

Elastic: MalwareScore ("windows.advanced.malware.threshold") auf "aggressiv" eingestellt und Rollback-SelfHealing ("windows.advanced.alerts.rollback.self_healing.enabled") aktiviert.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

G Data: "BEAST Behavior Monitoring” auf “Halt program and move to quarantine” eingestellt. "G DATA WebProtection"-add-on für Google Chrome installiert und aktiviert. "Malware Information Initiative" aktiviert.

Kaspersky: "Adaptive Anomaly Control" deaktiviert; "Detect other software that can be used by criminals to damage your computer or personal data" aktiviert.

Malwarebytes: "Expert System Algorithms", "Block penetration testing attacks", "Disable IE VB Scripting", "Java Malicious Inbound/outbound Shell Protection", "Earlier RTP blocking", "Enhanced sandbox protection" und "Thorough scan" aktiviert; "RET ROP Gadget detection", "Malicious LoadLibrary Protection" und "Protected applications" für alle Anwendungen aktiviert; "Protection for MessageBox Payload" für MS Office aktiviert; "Malwarebytes Browser Guard" Chrome extension aktiviert.

Microsoft: Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert; "CloudExtendedTimeOut" auf 55 gesetzt; "PuaMode" aktiviert.

Sophos: "Threat Case creation" und "Web Control" deaktiviert.

Trellix: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

VIPRE: "Firewall" und "IDS" aktiviert und auf “Block With Notify” eingestellt.

VMware: Richtlinie auf "Advanced" eingestellt.

K7, WatchGuard: Standardeinstellungen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, Cisco, Cybereason, G Data, Trellix und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). Cisco verwendet auch die ClamAV Engine. VMware verwendet die Avira Engine (zusätzlich zu ihren eigenen Schutzfunktionen). G Data’s OutbreakShield basiert auf Cyren.

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen. Dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen, beweist ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder z. B. über das lokale Netzwerk oder ein Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu den einzelnen Protection Tests wird ein False-Positives Test durchgeführt, um zu prüfen, ob Produkte legitime Software fälschlicherweise als schädlich identifizieren.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (August-November)

Die nachstehenden Ergebnisse beruhen auf einem Testsatz, bestehend aus 629 Testfällen (wie bösartige URLs), die von Anfang August 2022 bis Ende November 2022 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Avast 629 100% 10
Bitdefender 628 1 99.8% 1
G Data 628 1 99.8% 3
Acronis
627 2 99.7% 0
Kaspersky 627 2 99.7% 1
VIPRE 627 2 99.7% 4
WatchGuard
626 3 99.5% 68
VMware 625 4 99.4% 1
K7 625 4 99.4% 9
CrowdStrike 625 4 99.4% 25
ESET 623 6 99.0% 1
Trellix 623 6 99.0% 3
Microsoft 623 6 99.0% 5
Elastic 623 6 99.0%
10
Malwarebytes 623 6 99.0%
44
Cisco 621 8 98.7% 8
Sophos 616 2 11 98.1% 6
Cybereason
603 26 95.9%
10

 

* User-Dependent (Benutzerabhängige) Fälle werden zur Hälfte angerechnet. Wenn ein Programm zum Beispiel 80% von sich aus blockiert und weitere 20% der Fälle User-Dependent sind, geben wir die Hälfte der 20% an, also 10%, so dass es insgesamt 90% erhält.


Malware Protection Test (September)

Es wurde auch ein False-Alarm Test mit gängiger Software für Unternehmen durchgeführt. Alle getesteten Produkte hatten Null Fehlalarme bei gängiger Business-Software.

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
Acronis, Avast, VMware 100% 0
Microsoft 99.9% 0
Cisco, Cybereason, G Data, K7, Sophos, Trellix 99.8% 0
VIPRE 99.7% 0
Bitdefender, Kaspersky 99.6% 0
ESET, WatchGuard 99.4% 0
CrowdStrike 99.2% 0
Elastic 99.0% 0
Malwarebytes 98.6% 0

 

False-Positives Test

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (die Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen False-Alarm Test mit Non-Business-Software und ungewöhnlichen Dateien durchgeführt. Die Ergebnisse sind in den nachstehenden Tabellen aufgeführt; die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben. Organisationen, die häufig unübliche oder nicht-unternehmensrelevante Software oder selbst entwickelte Software verwenden, sollten diese Ergebnisse berücksichtigen. Ab diesem Jahr müssen die Produkte eine FP-Rate für nicht-unternehmensrelevante Dateien aufweisen, die unter dem Auffallend hoch Schwellenwert liegt, um zugelassen zu werden (wie letztes Jahr angekündigt). Damit soll sichergestellt werden, dass getestete Produkte keine höheren Schutzwerte erreichen, indem sie Einstellungen verwenden, die eine übermäßige Anzahl von Fehlalarmen verursachen.

FP-Rate Anzahl der FPs auf
Non-Business-Software
Sehr niedrig 0-5
Low 6-15
Mittel/Durchschnitt 16-35
High 36-75
Sehr hoch 76-125
Auffallend hoch >125

 

  FP-Rate mit Non-Business-Software
Acronis, Avast, ESET, Kaspersky Sehr niedrig
Bitdefender, CrowdStrike, G Data, Malwarebytes, VIPRE Low
K7, Microsoft, VMware Mittel/Durchschnitt
Cybereason, Elastic, Sophos, Trellix High
WatchGuard Sehr hoch
Cisco Auffallend hoch

Es ist zu beachten, dass Cisco einen Auffallend hoch Level bei der FP-Rate mit nicht-unternehmensrelevanten Dateien hatte. Administratoren sollten prüfen, ob dies in den spezifischen Umgebungen ihrer jeweiligen Organisationen zu Problemen führen könnte.


Leistungstest (Oktober)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformance im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installation von
Applications
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Acronis perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-mediocre perf-level-fast perf-level-fast perf-level-fast perf-level-fast
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Bitdefender perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Cybereason perf-level-mediocre perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
Elastic perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast
ESET perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
G Data perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
K7 perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Malwarebytes perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-mediocre perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Sophos perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-fast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast
Trellix perf-level-mediocre perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
VIPRE perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
VMware perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
WatchGuard perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast

 

Key perf-level-slow Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

PC Mark Tests

Um einen branchenweit anerkannten Performance-Test zu ermöglichen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen darin enthaltenen Tests für Verbraucherszenarien, finden Sie im Whitepaper auf der PC Mark Website. PC Mark® ist eine eingetragene Marke der Futuremark Corporation / UL.

"No security software" wird auf einem Basissystem getestet (Intel Core i7 Rechner mit 8GB RAM und SSD-Laufwerk) ohne installierte Sicherheitssoftware, die im PC Mark 10 Benchmark 100 Punkte erreicht.

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.Malwarebytes9098.41.6
2.Avast9098.21.8
3.Kaspersky9097.92.1
4.K79097.32.7
5.ESET8899.22.8
6.WatchGuard8598.96.1
7.G Data8598.26.8
8.Elastic8597.67.4
9.Bitdefender8399.08.0
10.VIPRE8398.48.6
11.Trellix7597.717.3
12.CrowdStrike7597.417.6
13.Microsoft7096.423.6
14.VMware6897.524.5
15.Sophos7093.426.6
16.Cisco6592.532.5
17.Cybereason6097.033.0
18.Acronis5595.339.7

Produkt Reviews

In diesem Abschnitt finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Bewertungen die Testergebnisse nicht berücksichtigen. Wir bitten die Leser daher, sich sowohl die Bewertung als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir möchten darauf hinweisen, dass Security-Produkte für Unternehmen eine Fülle von Merkmalen und Funktionen umfassen, deren Beschreibung den Rahmen eines solchen Berichts bei weitem sprengen würde. Wir bemühen uns, die wichtigsten Funktionen jedes Produkts, wie sie in der Benutzeroberfläche dargestellt werden, zu beschreiben und für jedes Produkt einen ähnlichen Umfang zu bieten. Aufgrund der unterschiedlichen Anzahl und Art der Funktionen in den verschiedenen untersuchten Produkten kann es zu offensichtlichen Unstimmigkeiten kommen. So kann es sein, dass wir bei einem einfacheren Produkt mit weniger Funktionen eine bestimmte Funktion ausführlicher beschreiben können als bei einem komplexeren Produkt mit einer größeren Anzahl von Funktionen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist. Wir weisen darauf hin, dass einige Produkte eine Auswahl an cloudbasierten und serverbasierten Konsolen bieten können, obwohl nur eine davon im Test beschrieben wird. In diesem Test wurden nur Windows-Systeme berücksichtigt. Informationen zur Unterstützung von macOS, Linux und mobilen Geräten haben wir in der Feature-List zusammengestellt.

Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen).

Die Überprüfung bezieht sich dann auf die laufende Nutzung, d.h. die täglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen. Alle getesteten Produkte enthalten eine Dashboard-ähnliche Seite, die einen Überblick über den Sicherheitsstatus bietet, sowie eine Geräteseite, die die Computer im Netzwerk anzeigt. Wir haben für alle Produkte eine Beschreibung dieser Seiten bereitgestellt. Was die anderen Funktionen der einzelnen Produkte betrifft, so haben wir einen maßgeschneiderten Ansatz gewählt. Das heißt, wir haben versucht, in Absprache mit dem jeweiligen Anbieter einige der wichtigsten Funktionen des einzelnen Produkts herauszugreifen.

Der nächste Abschnitt befasst sich mit der Endpoint-Protection-Software für Client-PCs. Zunächst wird dargestellt, wie diese bereitgestellt werden kann. Anschließend wird dargestellt, ob der Endpunktbenutzer Aufgaben wie Scans und Aktualisierungen selbst durchführen kann oder ob diese Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Wir führen auch eine kurze Funktionsprüfung durch. Dazu schließen wir ein USB-Flash-Laufwerk mit einigen Malware-Samples an einen PC an, auf dem das Produkt installiert ist, und versuchen, die schädlichen Dateien auf den Windows-Desktop zu kopieren und dann auszuführen. Wir notieren, ob das Produkt den Nutzer auffordert, das USB-Gerät zu scannen, wenn es angeschlossen ist, in welcher Phase des Kopiervorgangs die Malware erkannt wird und welche Art von Warnung angezeigt wird.

Vorteile

  • Verfügt über Datensicherung, Notfallwiederherstellung, Schwachstellenbewertung, Patch-Management und sichere Dateisynchronisierung
  • Gut geeignet für kleinere Unternehmen
  • Die Konsole ist leicht zu navigieren
  • Die Seiten der Konsole können individuell angepasst werden
  • Geografisches Bedrohungsdaten-Feature

Über das Produkt

Die Acronis Cyber Cloud-Plattform bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt enthält eine Reihe weiterer cloudbasierter Dienste, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. Weitere Add-on-Pakete sind ebenfalls beim Anbieter erhältlich. In dieser Bewertung werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Arbeitsplätzen verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist.

Management Console

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Es gibt Einträge für Monitoring, Devices, Management, Protection, Software Management, Backup Storage, Reports, und Settings. Die Zahlen rechts neben den einzelnen Menüpunkten stehen für Elemente wie Bedrohungen und Warnhinweise, auf die der Administrator achten sollte.

Monitoring\Overview Seite

Wenn Sie sich zum ersten Mal bei der Konsole anmelden, sehen sie als erstes die Seite wie oben abgebildet. Sie bietet einen grafischen Überblick über den Security- und Backup-Status des Netzwerks, wobei farbige Doughnut- und Balkendiagramme verwendet werden. Es gibt Panels für Protection status, Active alerts summary, Activities, Patch installation status, Missing updates by categories, und Disk health status. Über das Cyber protection Panel im oberen Bereich werden die Elemente Backed up today, Malware blocked, Malicious URLs blocked, Existing vulnerabilities und Patches ready to installangezeigt. Details zu den letzten Warnhinweisen und anderen Elementen werden in weiteren Feldern am unteren Rand angezeigt. Sie können die Seite individuell anpassen, indem Sie die Dateneinstellungen für jedes Feld ändern oder Felder hinzufügen/entfernen.

Monitoring\Alerts Seite

Hier können Sie Warnhinweise zur Malware-Erkennung, zu blockierten URLs und zu den Backup-Funktionen sehen. Diese können als Liste oder als große Kacheln mit Details (wie oben gezeigt) angezeigt werden. Die Informationen zu Malware-Erkennungen umfassen das Gerät, die Schutzrichtlinie (Plan), Dateiname und -pfad, Datei-Hashes, Name der Bedrohung und durchgeführte Aktion (z.B. Quarantäne). Klicken Sie auf Clear, wird der Eintrag aus der Alerts Seite aber nicht aus den Systemprotokollen entfernt.

Monitoring/Threat Feed Seite

Die Seite Threat feed zeigt Warnhinweise zu aktuellen Angriffen und Sicherheitslücken an, auf die Sie achten sollten. Acronis teilt uns mit, dass diese Liste auf den aktuellen geografischen Standort zugeschnitten ist, so dass nur Warnungen angezeigt werden, die für Sie relevant sind. Die Seite warnt Sie gegebenenfalls sogar vor Naturkatastrophen. Wenn Sie auf das Pfeilsymbol am Ende eines Bedrohungseintrags klicken, wird eine Liste mit empfohlenen Maßnahmen zur Bekämpfung der jeweiligen Bedrohung angezeigt. Diese können darin bestehen, einen Malware-Scan durchzuführen, ein Programm zu patchen oder ein Backup Ihres PCs oder Ihrer Daten zu erstellen.

Devices\All devices Seite

Die Devices\All devices Seite werden die Computer im Netzwerk aufgelistet. Auf Unterseiten können Sie die Ansicht filtern, z.B. nach verwalteten und nicht verwalteten Rechnern. Sie können u.a. den Gerätetyp (virtuelle Maschine oder Hardware) und den Namen, das Benutzerkonto und den Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z.B. IP-Adresse und Betriebssystem hinzufügen können. Die Geräte können als Liste (wie auf dem Screenshot oben) oder als große Kacheln mit zusätzlichen Details angezeigt werden. Wenn Sie ein Gerät in der Liste auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie einsehen, Patches anwenden, "machine details/logs/alerts" einsehen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Management/Protection plans Seite

Unter "Management/Protection plans" können Sie die Richtlinien anzeigen, erstellen und bearbeiten, die die Anti-Malware-Funktionen der Plattform steuern. Wenn Sie auf ein Symbol klicken, öffnet sich auf der rechten Seite ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen. Zu den Funktionen, die konfiguriert werden können, gehören Echtzeitschutz, Schutz von Netzwerkordnern, Maßnahmen bei Malware-Entdeckung, Exploit-Verhinderung, Erkennung von Krypto-Mining-Prozessen, zeitgesteuertes Scannen und Ausnahmen. Auf anderen Registerkarten des Menüfensters können Sie auch andere Elemente wie URL-Filterung, Schwachstellenbewertungen und Patch-Management konfigurieren.

Protection\Quarantine Seite

Unter Protection, listet die Quarantine Seite die Namen der erkannten bösartigen Dateien auf, zusammen mit dem Datum der Quarantäne und dem Gerätenamen. Sie können über die Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente in die Whitelist aufnehmen, wiederherstellen oder löschen.

Protection\Whitelist Seite

Die Whitelist Seite zeigt alle Anwendungen an, die beim Backup-Scanning gefunden und als sicher eingestuft wurden. Um die automatische Erstellung einer Whitelist zu aktivieren, muss der Backup-Scan geplant werden.

Software Management Seiten

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Reports Seite

Die Reports Seite listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Wenn Sie auf den Namen eines Berichts klicken, öffnet sich eine Detailseite zu diesem Element. Die Seite Alerts enthält zum Beispiel Felder mit folgenden Informationen 5 latest alerts, Active alerts summary, Historical alerts summary, Active alerts details, und Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole kann die Reports Seite individuell gestaltet werden.

Settings Seiten

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Funktion Remote Connection aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren. Wenn auf einem Gerät ein veralteter Agent installiert ist, wird im Menüfeld der Konsole unter Settings/Agents eine Warnung angezeigt. Dies macht deutlich, dass Sie Maßnahmen ergreifen müssen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe-Format können auf der Devices Seite durch klicken auf die Add Schaltfläche heruntergeladen werden. Es gibt separate Installationsprogramme für Windows-Clients und Windows-Server. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, wenn Sie ein Relais-Gerät in Ihrem LAN einrichten. Durch manuelles Ausführen des .exe-Installationsprogramms können Sie auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nachdem Sie eine lokale Installation auf einem Client-PC durchgeführt haben, müssen Sie auf Register the machine im Client-Fenster klicken. Sie müssen sich dann vom Client-PC aus bei der Verwaltungskonsole anmelden, den Eintrag des Geräts suchen und einen Schutzplan anwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Hier können Sie den Status des Echtzeit-Malware-Schutzes sowie Datum und Uhrzeit des nächsten geplanten Backups sehen. Auch die Einstellungen für die Backup-Verschlüsselung und den Proxy-Server können hier geändert werden. Nutzer können einen Ordner oder eine Datei auf Malware scannen, indem sie mit der rechten Maustaste im Windows File Explorer darauf klicken.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Acronis die schädlichen Dateien sofort und isolierte sie. Es wurde kein Warnhinweis dazu angezeigt.

Über das Produkt

Avast Ultimate Business Security bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Zu den zusätzlichen Funktionen für Windows-Clients gehören USB-Gerätekontrolle, eine Ersatz-Firewall, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Exchange- und SharePoint-Sicherheit werden für Windows-Server bereitgestellt, und eine vollständige Patch-Verwaltung ist für alle Windows-Computer enthalten. In diesem Bericht werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Aufgrund seiner Benutzerfreundlichkeit eignet es sich unserer Meinung nach jedoch auch für kleine Unternehmen, die über kein eigenes IT-Supportpersonal verfügen.

Vorteile

  • Gut geeignet für kleine und mittlere Unternehmen
  • Die Konsole ist leicht zu navigieren und entspricht den Standards für Barrierefreiheit
  • Ein-Klick-Wiederherstellungsoption auf dem Dashboard
  • Mit der Netzwerk-Scan-Funktion können Sie problemlos nicht verwaltete Geräte erkennen und Security-Software installieren
  • Umfasst Patch-Management, ein VPN, Datenvernichtung, Daten-/Identitätsschutz und Gerätekontrolle

Management Konsole

Dashboard Seite

Die Standard Dashboard Seite bietet einen Überblick über den aktuellen Sicherheitsstatus. Sie können die zu behebenden Warnungen, die erkannten Bedrohungen, die Anzahl der Geräte im sicheren/gefährdeten/gefährlichen Zustand, den Patch-Status und die Abonnementinformationen sehen. Wenn Sie mit der Maus über eine der Grafiken fahren, wird ein farbiges Informationsfeld mit einer Zusammenfassung des jeweiligen Elements angezeigt. Das Alerts to resolve Panel macht es besonders einfach, offene Risiken zu erkennen und zu beseitigen. Es gibt eine Liste von Alarmtypen, wie zum Beispiel Threats unresolved und Antivirus program is outdated. Für jeden Alarmtyp gibt es eine entsprechende vorgeschlagene Maßnahme, z.B. Restart + boot time scan oder Update - die Standardeinstellung kann über eine Dropdown-Liste geändert werden. Nachdem Sie die gewünschte Aktion ausgewählt haben, brauchen Sie nur noch auf den Text zu klicken, um sie auszuführen. So ist es extrem einfach, Security-Probleme in Ihrem Netzwerk zu erkennen und zu beheben.

Alerts Seite

Hier werden wichtige Warnungen (aus verschiedenen Quellen) angezeigt, z.B. Malware-Erkennungen und Geräte, die veraltet sind oder neu gestartet werden müssen. Sie können auf jede Warnung klicken, um ein Fenster mit den entsprechenden Details zu öffnen. Am Ende jedes Eintrags finden Sie die gleichen Optionen zur Behebung der Warnungen, die auch auf der Dashboard-Seite verwendet werden. In dieser Dropdown-Liste können Sie den Alarm (für alle Rechner oder bestimmte Gruppen) für 7, 30 oder 90 Tage stumm schalten. Stumm geschaltete Alarme werden auf einer separaten Registerkarte der Alarmseite angezeigt. Auf einer weiteren Registerkarte sehen Sie gelöste Alarme, d.h. solche, die Sie bereits bearbeitet haben. Ein Feld am oberen Rand der Seite zeigt die Anzahl der Warnungen mit dem Status Critical, Warning und Informative . Das Anklicken des Alert Settings in der oberen rechten Ecke öffnet ein Konfigurationsfenster, in dem Sie auswählen können, welche Benachrichtigungen in der Konsole angezeigt werden sollen und ob Sie E-Mail-Erinnerungen versenden möchten.

Devices\Managed devices Seite

Die Registerkarte "Managed devices" zeigt den Status und die Warnungen, das Betriebssystem, die Gruppenzugehörigkeit und die Richtlinie jedes Geräts sowie den AV-Status, den Patch-Status und das Datum des letzten Zugriffs. Zusätzliche Elemente (z.B. IP-Adresse, Backup, VPN) können durch Klicken auf das Symbol Manage columns , am rechten Ende des Tabellenüberschrift, hinzugefügt werden. Über die Schaltflächen und Menüs in der oberen rechten Ecke können Sie verschiedene Aufgaben auf den ausgewählten Computern ausführen, wie z.B. Neustart, Scannen, Aktualisierung, Behebung von Warnmeldungen und Änderung der Gruppenmitgliedschaft oder der Richtlinie. Über den Groups Button können Sie neue Gruppen erstellen, denen Richtlinien zugewiesen werden können. Die drei Kästchen in der oberen linken Ecke der Seite zeigen die Anzahl der Geräte mit rotem, gelbem und grünem Status an und geben so einen Überblick darüber, wie viele Geräte Aufmerksamkeit benötigen.

 Device details Seite

Durch Klicken auf den Namen eines Geräts in der Devices Seite öffnet sich die Detailansicht des Geräts. Hier sehen Sie eine Vielzahl von Informationen, darunter die genaue Betriebssystemversion, die AV-Programmversion, die Version der AV-Definitionen, die Version des Verwaltungsagenten, die internen und externen IP-Adressen, die MAC-Adresse und die Domänenzugehörigkeit.

Devices\Network discovery Seite

Auf dieser Seite können Sie Ihr lokales Netzwerk oder Ihre Active Directory-Domäne nach Computern scannen, die noch nicht von Avast verwaltet oder geschützt werden. Dazu müssen Sie zunächst ein derzeit verwaltetes Gerät als Scan-Agent bestimmen, was sehr schnell und einfach einzurichten ist. Dann müssen Sie nur noch auf Scanklicken und nach wenigen Augenblicken sehen Sie eine Liste der nicht verwalteten Geräte. Als wir dies in unserem Test-LAN ausprobierten, wurden alle Windows-Computer und sogar andere Netzwerkgeräte, wie Router und Drucker, erkannt. Sie können die Endpoint-Protection-Software für verwaltbare Geräte direkt von der Network Discovery Seite.

Policies Seite

Sie können die Avast-Standardrichtlinie verwenden oder Ihre eigenen Schutzeinstellungen für verwaltete Geräte konfigurieren. In jeder Richtlinie kann eine breite Palette von Einstellungen konfiguriert werden. Es gibt Abschnitte für General Settings (einschließlich Aktualisierungen, Fehlerbehebung und Neustartoptionen); Service Settings (Antivirus, Patch-Management, VPN, Firewall und USB-Gerätekontrolle); Exclusions (für Virenschutz, Patch-Management und USB-Schutz); und Assignments (Geräte, auf die die Richtlinie angewendet werden).

Reports Seite

Es gibt zehn verschiedene Berichtskategorien für Avast Ultimate Business Security: Executive Summary, Device Report, Task Report, Audit Log, Antivirus Threat Report, Patch Report, Remote Control Report, Cloud Backup Overview, Cloud Backup History und USB Protection Report. Sie können auf jede dieser Rubriken klicken, um eine grafische Darstellung der jüngsten Aktivitäten zu sehen. Zum Beispiel, Antivirus Threat Report zeigt ein Diagramm der reparierten, blockierten, gelöschten, in Quarantäne gestellten oder nicht behobenen Bedrohungen des letzten Monats. Sie können Berichte nach einem wöchentlichen oder monatlichen Zeitplan erstellen und bereits erstellte geplante Berichte anzeigen.

Users page

Hier können Sie Konsolenbenutzer verwalten. Es gibt zwei Ebenen von Berechtigungen, die im Wesentlichen "full control" und "read only" sind.

Subscriptions Seite

Wie zu erwarten, wird hier angezeigt, welche Produktlizenzen Sie derzeit besitzen, wie viele davon verwendet werden und wann sie ablaufen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien können entweder im .exe- oder im .msi-Format von der Devices Seite heruntergeladen werden. Sie können die zu verwendende Gruppe und Richtlinie sowie die Online- oder Offline-Version des Installationsprogramms angeben. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. In einer Active Directory-Umgebung ist auch eine Remote-Push-Installation möglich, indem ein Dienstprogramm auf einem Relay-Computer im LAN installiert wird. Vom Add Device Panel können Sie einen Download-Link erstellen, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Password Protection Option in der entsprechenden Richtlinie aktivieren.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Systemablage-Symbol und einem Programmfenster (Sie können das Systemablage-Symbol über eine Richtlinie ausblenden, wenn Sie möchten). Die Benutzer können den Schutzstatus und die Erkennungsprotokolle anzeigen, Updates ausführen und schnelle, vollständige, gezielte, Boot-Time- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk scannen oder eine Sandbox-Analyse für eine Datei durchführen, indem sie das Rechtsklick-Menü des Windows Explorers verwenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Avast zunächst keine Maßnahmen. Als wir jedoch versuchten, die Malware auf den Windows-Desktop zu kopieren, wurde sie von Avast sofort erkannt und unter Quarantäne gestellt. Es wurden Popup-Warnungen angezeigt, die so lange bestehen blieben, bis sie manuell geschlossen wurden. Es war keine Benutzeraktion erforderlich. Es wurden Optionen zum Scannen des PCs und zur Anzeige von Details der erkannten Bedrohung angezeigt. Sie können die Warnmeldungen über eine Richtlinie deaktivieren, wenn Sie möchten.

Über das Produkt

Bitdefender GravityZone Business Security Premium bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unseres Erachtens ist es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet.

Vorteile

  1. Hochgradig anpassbare Seiten
  2. Anklickbare Grafiken ermöglichen den einfachen Zugriff auf Detailseiten
  3. Detaillierte Malware-Analyse
  4. Risikomanagement-Funktion
  5. Leicht zugängliche Meldungsdetails

Management Console

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Die wichtigsten Punkte sind Monitoring, Incidents, Threats Xplorer, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer und Configuration.

Monitoring/Executive Summary Seite

Die Seite Executive Summary (Screenshot oben) wird angezeigt, wenn Sie die Konsole zum ersten Mal öffnen. Sie ist in Informationsfelder unterteilt, die einen Überblick über verwaltete Endpunkte, blockierte Bedrohungen, Bedrohungstypen und durchgeführte Abhilfemaßnahmen geben. Jedes Informationsfeld kann angeklickt werden. Wenn Sie also z.B. auf Managed endpoints klicken, werden Sie zur Seite Network (Devices) weitergeleitet.

Incidents Seite

Incidents ermöglicht es Ihnen, die im Netzwerk erkannten Bedrohungen zu überprüfen und zu untersuchen. Standardmäßig wird eine chronologische Liste der erkannten Bedrohungen angezeigt. Es gibt Spalten für die Bedrohungs-ID, Datum und Uhrzeit, den Status der Untersuchung, den Schweregrad, die Priorität, die ergriffene Maßnahme, den Endpunkt, die Anzahl der Alarme und den mit der Untersuchung beauftragten Konsolenbenutzer. In den oberen Feldern werden die Anzahl der offenen Vorfälle nach Schweregrad, die größte Anzahl von Warnungen und die am meisten betroffenen Geräte angezeigt. Sie können auf die angezeigten Zahlen klicken, um die entsprechende Detailseite aufzurufen. In den Feldern am oberen Rand jeder Listenspalte können Sie nach dieser Kategorie filtern, d.h. Sie können den Schweregrad der Bedrohung, den Zeitraum oder den Endpunkt angeben, um die Liste einzuschränken.

Wenn Sie auf das Prozessbaum-Symbol am rechten Ende des Eintrags eines Threats klicken, sehen Sie eine grafische Darstellung des Bedrohungsereignisses sowie weitere Details wie z.B. die durchgeführten Abhilfemaßnahmen:

Threats Xplorer Seite

Hier wird eine einfache Liste der erkannten Malware angezeigt, einschließlich der Quell-URL oder des lokalen Pfads, des Dateinamens, der durchgeführten Aktion, des Gerätenamens und des Tages/der Uhrzeit der Erkennung.

Network Seite

Die Network Seite (Screenshot oben) zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können. Ein Navigationsbereich auf der linken Seite der Seite zeigt Ihre Gruppenstruktur an und ermöglicht es Ihnen, Geräte per Drag-and-Drop den Gruppen zuzuweisen. Über eine Menüleiste am oberen Rand des Hauptfensters können Sie z.B. Berichte erstellen, Richtlinien zuweisen oder Geräte löschen. Das Tasks Menü enthält verschiedene Aktionen, die auf ausgewählten Geräten durchgeführt werden können, z.B. Scans, Updates, Reparaturen und Neustarts.

Die Packages Seite im Unterverzeichnis lässt Sie die Deployment-Packages konfigurieren. Sie können u.a. die zu installierenden Komponenten, die Verwendung als Relay für die Push-Installation und die Entfernung vorhandener AV-Produkte angeben. Auf der Tasks Seite im Unterverzeichnis können Sie den Status von Aufgaben wie Scans und Updates einsehen.

Risk Management Dashboard Seite

Hier sehen Sie eine breite Palette von Daten, die Sie für den proaktiven Schutz Ihres Netzwerks nutzen können. In verschiedenen Bereichen werden relevante Informationen in farbigen Diagrammen angezeigt. Die Seite Company Risk Score gibt Ihnen eine Bewertung von 1 bis 100, basierend auf Misconfiguration, App Vulnerabilities, und User Behavior Risks (unsicheres Verhalten von Nutzern). Für jeden dieser Punkte gibt es ein eigenes Detailfenster. Außerdem gibt es Score Over Time, eine Zeitleiste mit den Risiken der letzten 7 Tage sowie Panels für die am stärksten gefährdeten einzelnen Server, Workstations und Benutzer. Das Security Risks Untermenü zeigt eine vollständige Liste der Fehlkonfigurationen, anfälligen Anwendungen, Risiken des Nutzerverhaltens, Geräte und Nutzer, die auf der Hauptseite zusammengefasst sind.

Policies Seite

Hier können Sie die Konfiguration ändern, die auf Gruppen von Client-Geräten angewendet wird. Über eine Menüspalte auf der linken Seite der Seite können Sie durch die verschiedenen Bereiche jeder Richtlinie navigieren, z.B. Anti-Malware, Firewall und Gerätekontrolle.

Reports Seite

Hier können Sie Zusammenfassungen von Informationen, zu einer Vielzahl von Aspekten, erstellen, z.B. zu blockierten Websites, Gerätekontrollaktivitäten, dem Status des Endpunktschutzes, der Einhaltung von Richtlinien und dem Aktualisierungsstatus einsehen. Das Berichtsintervall kann auf diesen Monat, den Vormonat, dieses Jahr oder das Vorjahr festgelegt werden. Sie können auch Gerätegruppen auswählen, die einbezogen werden sollen.

Quarantine Seite

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit, ausgewählte Dateien zu löschen oder wiederherzustellen.

Accounts Seite

Accounts lässt Sie Konsolenbenutzer hinzufügen, entfernen und bearbeiten. Es gibt fünf Standardberechtigungsstufen, von der vollen Kontrolle bis zum reinen Lesezugriff. Sie können auch eigene Berechtigungsstufen erstellen. Auf der User Activity Seite können Sie die Aktivitäten der Benutzerkonten überwachen. Wir weisen darauf hin, dass die 2-Faktor-Authentifizierung für die Konsolenanmeldung nicht strikt durchgesetzt wird, obwohl das Produkt angibt, dass sie obligatorisch ist. Neue Benutzer werden bei der Anmeldung aufgefordert, 2FA einzurichten, aber dies kann übersprungen werden. Diese Situation wird durch den folgenden Screenshot veranschaulicht:

Sandbox Analyzer Seite

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 100 (eindeutig bösartig).

Configuration Seite

Die Configuration Seite lässt Sie Konfigurationsänderungen für die Konsole selbst vornehmen.

Notifications Panel

Ein Klick auf das Glockensymbol in der oberen rechten Ecke öffnet das Notifications Panel. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie auf ein Element klicken, wird ein Absatz mit Informationen innerhalb des Fensters angezeigt. Zum Beispiel können Sie mit Login From New Device die IP-Adresse des Geräts, das Betriebssystem des Geräts, den verwendeten Browser sowie Datum und Uhrzeit sehen. Um noch mehr Informationen zu erhalten, klicken Sie auf Show moreund Sie gelangen zur vollständigen Detailseite im Hauptfenster der Konsole.  

Windows Endpoint Protection-Client

Deployment

Unter Network\Packages können Sie Installationsdateien im .exe-Format erstellen und herunterladen. Zur Auswahl stehen Light-, Full 32-Bit- und Full 64-Bit-Installer. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem der Endpunkt-Client auf einem Relais-Computer im LAN installiert wird. Alternativ können Sie ein Installationsprogramm direkt von der Seite Packages per E-Mail an die Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Set uninstall password in den Einstellungen der entsprechenden Richtlinie verwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie die Richtlinie ändern, können Sie das Symbol in der Taskleiste ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, forderte uns Bitdefender auf, einen Scan des externen Laufwerks durchzuführen. Wir brachen dies ab und öffneten das Laufwerk im Windows Explorer. Es gelang uns nicht, eines der Malware-Samples auf den Windows-Desktop zu kopieren, und es wurde ein Popup-Warnhinweis angezeigt, der darauf hinwies, dass Malware entdeckt wurde. Diese schloss sich nach einigen Sekunden. Es ist keine Benutzeraktion erforderlich oder möglich. Sie können Erkennungswarnhinweise per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cisco Secure Endpoint Essentials bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware bietet das Produkt Funktionen zur Überwachung, Untersuchung und Abwehr von Sicherheitsbedrohungen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

  • Investigative Merkmale
  • Geeignet für mittlere bis große Unternehmen
  • Es wird eine detaillierte Zeitleiste der Angriffe angezeigt.
  • Die Reaktion auf Angriffe kann automatisiert werden
  • Die gut gestaltete Benutzeroberfläche ermöglicht einen unkomplizierten Zugriff auf eine Vielzahl von Funktionen

Management Console

Dashboard Tab

Die Dashboard Tab des Dashboard ist im obigen Screenshot dargestellt. Es gibt eine Reihe von Feldern mit farbigen Balkendiagrammen. Diese zeigen Compromises, Quarantined Detections, Vulnerabilities, Significant Compromise Observables, und Compromise Event Types. Der Inbox Seite zeigt eine kompakte, zusammengefasste Version desselben Sachverhalts. Die Overview Seite bietet den besten grafischen Überblick über den Zustand des Netzes, mit farbigen Balken- und Doughnut-Diagrammen, die Folgendes zeigen Compromises, Threats, Vulnerabilities, Computers, Network Threats, AV Definition Status, und File Analysis. Diese fassen die wichtigsten Informationen sehr übersichtlich zusammen. Auf der Events Seite sind die jüngsten Entdeckungen aufgeführt.

Analysis Menu

In dem Analysis Menü finden Sie Funktionen zur Untersuchung von Angriffen.

Events zeigt eine Liste von Ereignissen, wie z.B. die Installation und Deinstallation von Endpunkt-Clients und Bedrohungen, die auf geschützten Geräten aufgetreten sind. Dazu gehören der Zugriff auf riskante Websites, Downloads bösartiger Dateien und Versuche, mutmaßliche Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z.B. die IP-Adresse und der Port der Bedrohungswebsite sowie der Hash der schädlichen Datei. Im Detailbereich einer vermuteten bösartigen Datei können Sie auf Analyzeweitere Einzelheiten über die File Analysis ansehen. Sie zeigt Ihnen die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als schädlich.

Um zu sehen, welche legitimen Programme in Malware-Begegnungen verwickelt waren, werfen Sie einen Blick auf die Threat Root Cause Seite. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen, wie chrome.exe oder explorer.exe.

Auf dem Prevalence Seite wird die Anzahl der Geräte angezeigt, die von einem bestimmten Threat betroffen sind.

Unter Vulnerable Software werden Programme mit bekannten Sicherheitslücken aufgelistet. Außerdem gibt es CVE-ID- und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen.

Reports bietet einen sehr detaillierten Bericht pro Woche und/oder Monat und/oder Quartal. Darin werden zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen behandelt. Diese werden mit farbigen Balken und Doughnut-Diagrammen dargestellt.

Die Seite Indicators zeigt Kompromittierungsindikatoren (IOCs) an, die Ereignisse auslösen. Diese dienen als Benachrichtigung über verdächtige oder bösartige Aktivitäten auf einem Endpunkt, die dann untersucht werden können. Sie können diese Seite über das Menü Analysis aufrufen. Jeder Indikator enthält eine kurze Beschreibung der Art des Angriffs. Außerdem gibt es Informationen über die verwendeten Taktiken und Techniken, die auf der MITRE ATT&CK-Wissensdatenbank basieren.

Outbreak Control Menu

Das Outbreak Control Menü bietet Optionen zum Sperren oder Zulassen bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Die Automated Actions Funktion (siehe unten) lässt Sie Aktionen festlegen, die automatisch ausgelöst werden, wenn ein bestimmtes Ereignis auf einem Computer eintritt. Wenn der Computer beispielsweise kompromittiert ist, können Sie einen forensischen Schnappschuss erstellen, den Computer isolieren, ihn in eine bestimmte Gruppe verschieben oder eine beliebige Kombination dieser Aktionen durchführen. Sie können auch verdächtige Dateien zur Analyse einreichen, sobald sie entdeckt werden. In jedem Fall wird die Mindestbedrohungsstufe (Critical, High, Medium oder Low), die zum Auslösen der Aktion erforderlich ist, angegeben werden.

Management Menu

Die Management Menü enthält eine Reihe weiterer Standardfunktionen. Dazu gehören Computer, Groups, Policies, Exclusionsund Deployment Options.

Auf der Seite Computers (unten) finden Sie oben eine Reihe von Statistiken, z.B. über Computer mit Fehlern oder solche, die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Sie können einen Computer für weitere Aufmerksamkeit markieren, indem Sie hier auf das Flaggensymbol klicken. Wenn Sie auf das Pfeilsymbol für ein Gerät klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Anschlussversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Besuchs angezeigt. Die Liste der Computer kann nach jedem der oben genannten Parameter gefiltert werden.

In den Angaben zu den einzelnen Computern findet sich ein Link zu Device Trajectory (siehe Screenshot unten). Hier werden Erkennungsereignisse nach Datum angezeigt (als rote Punkte im Kalenderabschnitt oben auf der Seite). Die Seite bietet eine sehr detaillierte Ansicht jedes Ereignisses mit einer Zeitleiste, die die Reihenfolge der Phasen anzeigt. Es gibt eine Fülle von Informationen, die bei der Untersuchung eines Angriffs hilfreich sind, einschließlich der beteiligten Systemprozesse, Hashes verdächtiger Dateien, IP-Adressen, auf die zugegriffen wurde, und vieles mehr. Wenn Sie mit der rechten Maustaste auf einen Prozessnamen in der System Spalte klicken, öffnet sich ein Kontextmenü mit zahlreichen Optionen, darunter eine Zusammenfassung der Erkennungen oder ein vollständiger Bericht von VirusTotal. Außerdem gibt es die Option Investigate in Cisco Threat Response. Dadurch wird eine separate Konsole geöffnet, mit der Sie die Art der Bedrohung und die Auswirkungen auf Ihr Netzwerk untersuchen können.

Die Funktion Endpoint Isolation muss in der entsprechenden Richtlinie aktiviert werden, bevor sie verwendet werden kann. Sie ermöglicht es Ihnen, den gesamten ein- und ausgehenden Netzwerkverkehr auf einem Computer zu blockieren (mit Ausnahme der Kommunikation mit der Management-Konsole). Auf diese Weise können Sie eine potenzielle Bedrohung sicher untersuchen.

Windows Endpoint Protection-Client

Deployment

Installationsprogramme im .exe-Format finden Sie durch Klicken auf den Management\Download Connector. Sie müssen eine Gerätegruppe auswählen, die festlegt, welche Richtlinie angewendet werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Auf der Seite finden Sie auch einen Download-Link, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Enable Connector Protection in der jeweiligen Richtlinie aktivieren.

Benutzeroberfläche

Die grafische Benutzeroberfläche der Endpoint-Protection-Software umfasst ein System-Tray-Symbol und ein Programmfenster. Damit können Benutzer Updates und Scans ausführen und die Protokolle anzeigen. Es gibt eine Reihe von Scans, die Benutzer ausführen können. Diese sind Flash Scan (laufende Prozesse), Custom Scan, oder Full Scan. Die Nutzer können eine Datei/Ordner/Laufwerk auch über das Rechtsklick-Menü des Windows Explorers scannen. Sie können die Benutzeroberfläche vollständig über die Richtlinien ausblenden lassen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Cisco zunächst keine Maßnahmen. Als wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Dem Endbenutzer wurde keine Warnung angezeigt. Die Endpunktsoftware kann jedoch per Richtlinie so konfiguriert werden, dass Erkennungsbenachrichtigungen angezeigt werden.

Über das Produkt

CrowdStrike Falcon Pro bietet eine cloudbasierte Konsole zur Verwaltung der Endpoint Protection Software. Neben dem Schutz vor Malware bietet das Produkt Ermittlungsfunktionen und integrierte Threat Intelligence zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Tausenden von Geräten verwalten. Wir weisen darauf hin, dass CrowdStrike Falcon Pro als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz ihrer Endgeräte wünschen, bei der sie sich um nichts kümmern müssen. CrowdStrike teilt uns mit, dass das Unternehmen über Rechenzentren in den USA und der EU verfügt, um die jeweiligen Datenschutzbestimmungen einzuhalten. CrowdStrike Falcon Pro bietet zusätzliche Funktionen, die in diesem Test nicht berücksichtigt wurden: Gerätekontrolle und Firewall-Management.

Vorteile

  • Investigative Funktionen
  • Umfassende Suchmöglichkeiten
  • Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten
  • Integrierte Bedrohungsdaten
  • Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Konsole wird über das Falcon-Menü in der oberen linken Ecke der Konsole gesteuert. Hier werden die wichtigsten Einträge aufgelistet, z.B. Endpoint Security, Threat Intelligence, Investigate, Dashboards and Reports, Host Setup and Management, Audit Logs, und Support and Resources. Jede dieser Seiten hat ihre eigenen Unterseiten. Sie können jede Seite der Konsole mit einem Lesezeichen versehen (über das Lesezeichen-Symbol in der linken oberen Ecke der Seite) und dann direkt zu dieser Seite gehen, indem Sie die Bookmarks Sektion des Menüs nutzen.

Activity Dashboard\Activity Overview Seite

Dies ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal bei der Konsole anmelden (siehe Screenshot oben). Sie zeigt verschiedene Statuselemente in großen Feldern an. Es gibt eine Liste der jüngsten Erkennungen mit einer grafischen Schweregradbewertung. Sie können auch ein Diagramm der Erkennungen nach Taktik (z.B. Machine learning, Defense Evasion) über den vergangenen Monat sehen. Zur Darstellung der Angriffsstadien werden hier Begriffe aus dem MITRE ATT&CK Framework verwendet. Einige der Panels sind mit Detailseiten verlinkt. Sie brauchen daher nur auf die Schaltfläche New Detections klicken, um die Endpoint Detections Detailseite zu öffnen.

Endpoint Security\Endpoint Detections Seite

Hier können Sie eine Liste der erkannten Bedrohungen anhand einer Vielzahl von Kriterien durchsuchen. Dazu gehören Schweregrad, Malware-Taktik, Erkennungstechnik, Datum und Uhrzeit, Status und auslösende Datei. Für jede Erkennung können Sie alle Details einsehen, einschließlich einer Prozessstruktur (siehe Screenshot unten). Sie können einen Konsolenbenutzer für die Behebung zuweisen.

Endpoint Security\Quarantined Files Seite

Wie zu erwarten, können Sie auf dieser Seite Dateien sehen, die vom System unter Quarantäne gestellt wurden. Sie können den Dateinamen, den Gerätenamen, die Anzahl der Erkennungen im Netzwerk, den beteiligten Benutzer, den Status und natürlich Datum und Uhrzeit der Erkennung sehen. In Quarantäne gestellte Dateien können freigegeben, gelöscht oder zur Analyse heruntergeladen werden. Wenn Sie auf den Eintrag einer unter Quarantäne gestellten Datei klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen. Dazu gehören der Dateipfad für den Ort, an dem die Datei entdeckt wurde, Datei-Hashes, Dateigröße, Dateiversionsnummer, Erkennungsmethode und Schweregrad. Es gibt eine Suchfunktion und eine Reihe von Filtern, die Sie verwenden können, um bestimmte Dateien innerhalb des Quarantäne-Repositorys zu finden. CrowdStrike teilte uns mit, dass geschützte Endpunkte alle unter Quarantäne gestellten Dateien automatisch an Falcon Intelligence zur Untersuchung weiterleiten.

Endpoint Security\Prevention Policies Seite

Hier können Sie die Schutzrichtlinien für Endpunkte erstellen und bearbeiten. Sie können das Verhalten für eine Reihe verschiedener Arten von angriffsbezogenem Verhalten definieren, z.B. für Ransomware, Exploitation und laterale Bewegungen. Einige Sensorkomponenten, wie z.B. Cloud Machine Learning und Sensor Machine Learning, haben getrennte konfigurierbare Stufen für Erkennung und Prävention. Es können 5 verschiedene Empfindlichkeitsstufen eingestellt werden, von Disabled auf Extra Aggressive. Hier können auch benutzerdefinierte Angriffsindikatoren (Indicators of Attack, IOA) erstellt und zugewiesen werden, und es gibt eine Option zur automatischen Behebung von IOA-Erkennungen.

Richtlinien können den Geräten automatisch über ein Benennungssystem zugewiesen werden. So kann z.B. jedes Gerät mit "Win" im Namen automatisch in eine bestimmte Gruppe von Windows-Computern eingeordnet werden, denen eine bestimmte Richtlinie zugewiesen wird. Geräten/Gruppen kann mehr als eine Richtlinie zugewiesen werden, wobei eine Richtlinienhierarchie festlegt, welche Richtlinie Vorrang hat.

Host Setup and Management\Host Management Seite

Die Hosts/Host-Management werden alle installierten Geräte aufgelistet. Sie können sofort sehen, welche davon online sind. Zu den zusätzlichen Informationen gehören Betriebssystem, Richtlinien, Sicherheitsstatus und Sensorversion. Wenn Sie auf den Eintrag eines Geräts klicken, öffnet sich ein Detailfenster für dieses Gerät. Hier finden Sie zusätzliche Informationen, wie Gerätehersteller, MAC-Adresse, IP-Adressen und Seriennummer.

Threat Intelligence\Actors Seite

Auf dieser Seite finden Sie Einzelheiten zu bekannten cyberkriminellen Gruppen. Sie können die Länder und Branchen sehen, auf die es die einzelnen Gruppen abgesehen haben, sowie technische Details zu den verwendeten Angriffsmethoden. CrowdStrike teilt uns mit, dass diese Informationen auch in Detection Details verfügbar sind, wenn eine Entdeckung mit einem bestimmten Akteur verbunden ist.

Investigate\Hosts Seite

Die Investigate Menü findet sich eine äußerst umfassende Suchfunktion. Damit können Sie nach Geräten, Hashes, Benutzern, IP-Adressen, Domänen und Ereignissen suchen. Im Menü der Hosts Seite können Sie nach bestimmten Geräten suchen.

Windows Endpoint Protection-Client

Deployment

Installationsdateien für den Sensor (Endpunktschutz-Client) können im .exe-Format von der Host Setup and Management\Sensor Downloads Seite heruntergeladen werden. Ältere Versionen des Sensors sind auf Wunsch erhältlich. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Es gibt überhaupt keine Schnittstelle zum Endpunkt-Client. Er ist für den Benutzer völlig unsichtbar, mit Ausnahme von Malware-Warnhinweisen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, reagierte CrowdStrike Falcon nicht. Als wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort gelöscht. Die Erkennungen wurden sofort in der Verwaltungskonsole angezeigt. Es wurde ein Windows-Popup-Warnhinweis angezeigt, der nach einigen Sekunden wieder geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Schutzwarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cybereason Enterprise bietet eine cloudbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware umfasst das Produkt Funktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

  • Investigative Funktionen
  • Einfacher und schneller Client-Bereitstellungs-Prozess
  • Die Verwaltungskonsole ist über ein einziges Menü leicht zu navigieren
  • Klare grafische Darstellungen von bösartigen Aktivitäten
  • Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten

Management Console

Die Konsole wird über das dreizeilige Menü in der oberen linken Ecke gesteuert.

Discovery board Seite

Die Discovery board (siehe Screenshot oben) ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal anmelden. Sie zeigt "MalOps" (bösartige Vorgänge) in Spalten, je nach Typ, an. Die blauen Punkte stellen eine bösartige Aktivität dar. Die Größe des Punktes steht für die Anzahl der betroffenen Rechner, und die Farbschattierung bezieht sich auf den Zeitpunkt der Aktivität (wie im Panel rechts auf der Seite erklärt). Wenn Sie auf einen Punkt klicken, werden in einem Popup-Fenster der Name der Datei/des Prozesses und die Art der Bedrohung (z.B. Einschleusung von bösartigem Code) sowie Datum und Uhrzeit der Aktion und das/die betroffene(n) Gerät(e) angezeigt. Wenn Sie auf das Pop-up klicken, wird die Detailseite für diesen Malop geöffnet. Wir freuen uns, dass Cybereason einen Hauch von Humor in die ernste Welt der IT-Sicherheit gebracht hat. Wenn alles in Ordnung ist, wird auf dem Discovery Board stehen: "Heute keine MalOps gefunden. Wie wäre es mit einer Tasse Tee?".

MalOps management Seite

Die MalOps management Seite enthält eine Reihe von Feldern, die den Sicherheitsstatus des Netzwerks grafisch darstellen. Außerdem wird eine Liste der erkannten bösartigen Vorgänge in chronologischer Reihenfolge angezeigt (jede Warnung von der Seite Malware-Warnungen wird hier angezeigt). Die Informationen zu jedem Element umfassen einen Bezeichner (Datei-/Prozessname), ein Erkennungsmodul sowie die betroffenen Geräte und Benutzer, zusammen mit Datum und Uhrzeit. Diese Informationen sind in großzügigen Reihen angeordnet, so dass sie leicht zu lesen sind. Es gibt Grafiken, die die Grundursache und die betroffenen Geräte darstellen. Sie können die MalOps nach Status, Erkennungsmodul, Priorität, Betriebssystemtyp, Gerätestatus, Benutzerberechtigungen und Kennzeichnungen filtern. Sie können auch eine Rasteransicht wählen, die mehr Elemente mit weniger Grafiken anzeigt. Wenn Sie auf einen der MalOps klicken, wird die Detailseite geöffnet (siehe unten).

Malop details Seite

Die Seite Malop-Details enthält eine Fülle von Informationen über den fraglichen Malop. Dazu gehören das infizierte Gerät, ein- und ausgehende Verbindungen zu und von dem Prozess sowie eine Zeitleiste. Einzelne Elemente der Übersichtsgrafik und der Zeitleiste sind anklickbar, so dass Sie weitere Details sehen können. Wenn der bösartige Prozess beispielsweise Netzwerkkommunikation verwendet hat, können Sie auf die entsprechende Grafik klicken, um die IP-Adresse des Remote-Computers anzuzeigen.

Die Informationen sind in sehr übersichtlichen Diagrammen dargestellt, die eine Zusammenfassung der Bedrohung auf einen Blick bieten. Dies scheint uns eine bemerkenswert effektive Methode zu sein, die wichtigen Informationen schnell und einfach zu vermitteln. Über Registerkarten am unteren Rand der Seite können Sie den Malop aus den zusätzlichen Perspektiven von Prozessen, Maschinen und Benutzern betrachten. Die Seite Processes enthält einen Verweis auf die entsprechende Stufe des MITRE ATT&CK® Frameworks. Die Respond Schaltfläche, oben auf der Seite, können Sie verschiedene Aktionen zur Behebung des Problems durchführen, darunter Isolate, Quarantine, Prevent files execution, und Kill process.

Malware alerts Seite

Hier werden Warnhinweise in Bezug auf bekannte und unbekannte Malware, dateilose Angriffe und Anwendungskontrolle angezeigt. Sie können die Warnhinweise nach all diesen Kategorien filtern. Die für jede Warnung bereitgestellten Informationen umfassen den Dateinamen, die durchgeführte Aktion, das betroffene Gerät sowie Datum und Uhrzeit. Für jede der Warnungen werden Investigate und Exclude Schaltflächen zur Verfügung gestellt, damit Sie damit umgehen können.

Investigation Seite

Die Investigation Seite können Sie benutzerdefinierte Suchabfragen nach bösartigen Aktivitäten erstellen, indem Sie Kriterien wie Rechner, Benutzer, Prozess, Datei, Verbindung, Domänenname, Registrierungseintrag und Erkennungsereignis verwenden. Es gibt auch vorgefertigte Abfragen, mit denen Sie z.B. Folgendes finden können Unsigned Services employing autostart und Privilege Escalation to System.

Security profile Seite

Hier konfigurieren Sie Reputation, Verhaltensbasierte Erlaubnisliste, Benutzerdefinierte Erkennungsregeln, und machine isolation exceptions.

System Section

Die Hauptseite System hat eine Reihe von Unterseiten. Diese sind Overview, Sensors, Policies management, Detection servers und Groups.

System\Overview Seite

Die Standard Overview Seite bietet ein Doughnut-Diagramm des Status der installierten Geräte mit einem Farbleitsystem für Zustände wie Enabled, Disabled und Offline. Darunter zeigt ein Balkendiagramm den Anteil der aktuellen Clients.

System\Policies Management Seite

Die System\Policies Management Seite lässt Sie Richtlinien für die Endpoint-Software erstellen und bearbeiten. Für jede Richtlinie gibt es eine Konfigurationsseite mit einer linken Menüspalte. Damit können Sie zu bestimmten Abschnitten der Richtlinie wechseln. Diese sind Name & Description, Anti-Malware, Exploit protection, Fileless protection, Anti-Ransomware, App Control, Endpoint controls, Collection features, und Endpoint UI Settings. Jedes Element öffnet die entsprechende Konfigurationsseite mit übersichtlichen Bedienelementen für die einzelnen Unterkomponenten.

System\Detection servers Seite

Hier können Sie Details zu den Websites und Servern hinzufügen und bearbeiten, die die Schutzsoftware verwalten.

System\Groups Seite

Auf dieser Seite können Sie Verwaltungsgruppen für Ihre Geräte erstellen. Die Seite Create new group lässt Sie eine bestimmte Richtlinie zuweisen und neue Geräte automatisch zu der Gruppe hinzufügen, basierend auf der Active Directory-Organisationseinheit, dem Rechnernamen, der Organisation oder der internen/externen IP-Adresse.

System\Sensors Seite

Auf der Seite System\Sensors wird eine Liste der geschützten Geräte mit Details wie Sensorversion, Betriebssystemtyp und IP-Adresse angezeigt. Wir weisen darauf hin, dass Offline-Computer in einer sehr blassen grauen Farbe angezeigt werden. Die Detailspalten können angepasst werden, so dass Sie eine Vielzahl von Elementen wie CPU-Nutzung, Speichernutzung und Betriebssystemversion hinzufügen können. Sie können ein oder mehrere Geräte auswählen und über das Menü Aktionen Aufgaben ausführen, z.B. aktualisieren, neu starten, Richtlinien festlegen, den Anti-Ransomware-Modus einstellen und einen System-Scan starten. Über ein Panel am oberen Rand der Seite können Sie eine lange Liste von Geräten nach Sensorstatus, Datenerfassung, Betriebssystem, Aktualisierungsstatus, App-Kontrollstatus und Ransomware-Schutzstatus filtern.

Settings Seite

Auf dieser Seite können Sie Systemelemente wie Benachrichtigungen, Authentifizierung und Kennwortrichtlinien konfigurieren.

Support Seite

Die Support-Dienste des Produkts können durch Anklicken von Support, geändert werden, wie Sie es erwarten würden.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .exe-Format können von der System\Overview Seite der Konsole heruntergeladen werden. Es gibt 32- und 64-Bit-Installationsprogramme für Windows. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Der Setup-Assistent der manuellen Installation kann mit einem einzigen Klick abgeschlossen werden und ist in wenigen Sekunden fertig.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage, dessen Menü den Schutzstatus, Datum und Uhrzeit der letzten Aktualisierung, Datum und Uhrzeit der letzten Scans, die Signaturversion und die Programmversion anzeigt. Benutzer können Updates, Schnell-Scans und vollständige Scans durchführen. Wenn Sie möchten, können Sie die Benutzeroberfläche und die Warnmeldungen mit Hilfe von Richtlinien vollständig ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Cybereason die schädlichen Dateien sofort und isolierte sie. Es wurde ein Pop-up-Warnhinweis angezeigt, der sich nach einigen Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

Elastic Security bietet entweder eine serverbasierte oder eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Letztere haben wir in diesem Review beschrieben. Neben dem Schutz vor Malware beinhaltet das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten.

Vorteile

  • Investigative Funktionen
  • Sauberes und einfaches Konsolendesign
  • Detaillierte Informationen über Netzwerkverbindungen werden bereitgestellt
  • Pop-up-Panels zeigen schnell Details von Daten in Diagrammen an
  • Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Elastic-Konsole als Ganzes bietet neben der Sicherheit eine Reihe weiterer Funktionen. In diesem Bericht haben wir uns nur mit den sicherheitsrelevanten Funktionen der Konsole befasst. Der Zugriff auf diese Funktionen erfolgt (wie zu erwarten) über die Security. auf der Startseite der Hauptkonsole von Elastic. Auf der linken Seite der Konsole gibt es eine einzige Menüspalte mit den Hauptkategorien Dashboards, Alerts, Findings, Timelines, Cases, Explore und Manage.

Dashboards\Overview Seite

Diese Seite, die im obigen Screenshot zu sehen ist, gibt Ihnen einen Überblick über sicherheitsrelevante Ereignisse, die in Panels mit Balkendiagrammen dargestellt werden. Sichtbar wird Alert Trend, Events, Host Events, Network Events und Threat Intelligence. Wenn Sie mit der Maus über eines der Diagramme fahren, wird ein Feld mit detaillierten Aufschlüsselungsinformationen für dieses Element angezeigt. Die Website View… in der oberen rechten Ecke jedes Feldes führt zu der entsprechenden Detailseite der Konsole.

Dashboards\Detection and Response Seite

Hier können Sie sehen Alerts, Hosts by alert severity, Users by alert severity, und Cases (Untersuchungen). Die Alerts Panel verwendet farbige Doughnut-Diagramme, um offene, bestätigte und geschlossene Warnmeldungen nach Schweregrad anzuzeigen. Der Zeitraum, für den die Warnungen angezeigt werden, kann einfach auf einen beliebigen Zeitraum zwischen der letzten Stunde und dem letzten Jahr eingestellt werden.

Alerts Seite

Hier finden Sie eine Zeitleiste der letzten Erkennungswarnungen, die in 3-Stunden-Intervallen angezeigt wird. Außerdem gibt es eine detaillierte Übersicht über die einzelnen Ereignisse. Für jeden Alarm werden die Optionen Mark as acknowledged, Mark as closed, Add to new case und Add to existing case angezeigt.

Explore\Hosts Seite

Die Hosts Seite (siehe oben) bietet einen Überblick über die aktiven Clients. Sie können den Gerätenamen, die letzte Verbindungszeit, das Betriebssystem und die Betriebssystemversion sehen. Wenn Sie auf den Namen eines Geräts klicken, öffnet sich dessen Detailseite. Hier sehen Sie detailliertere Informationen wie IP-Adressen und MAC-Adressen, Sensorversion und Authentifizierungsereignisse.

Explore\Network Seite

Dazu gehört eine Weltkarte, auf der die Standorte der Server verzeichnet sind, mit denen sich die Client-PCs verbunden haben. Darunter befindet sich eine Tabelle mit genauen Angaben zu diesen Verbindungen (siehe oben). Weitere Felder zeigen Elemente wie Netzwerkereignisse und DNS-Anfragen.

Explore\Users Seite

Hier sehen Sie eine Liste aller Computer-Benutzerkonten im Netzwerk, einschließlich der Systemkonten. Für jedes Konto werden sicherheitsrelevante Ereignisse wie Anmeldungen aufgelistet.

Manage Section

Von dieser Seite aus haben Sie Zugriff auf eine Vielzahl von Untermenüs, darunter Endpoints, Policies, Rules, Exception Lists, Blocklists, Trusted Applications, Event Filters und Host Isolation Exceptions.

Manage\Endpoints Seite

Hier wird eine vollständige Liste aller Endpunkte im Netzwerk angezeigt, auch derjenigen, die sich in einem inaktiven Zustand befinden. Hier sehen Sie den Agentenstatus, die angewandte Richtlinie, den Betriebssystemtyp, die interne IP-Adresse, die Agentenversion sowie das Datum und die Uhrzeit des letzten Zugriffs. Die Seite Actions zeigt weitere Details an und lässt Sie den Endpunkt isolieren.

Manage\Policies Seite

Auf dieser Seite können Sie auf die Richtlinien zugreifen, die die Sicherheitseinstellungen für vernetzte Geräte festlegen. Hier können Sie u.a. Schlüsselereignisse definieren, die zur Analyse aufgezeichnet werden sollen, Benutzerbenachrichtigungen aktivieren und in das Windows Security Center integrieren.

Windows Endpoint Protection-Client

Deployment

Die Bereitstellung des Endpoint Protection - Agenten kann über eine manuelle Installation auf dem Endpunkt oder über ein Systemverwaltungsprodukt oder Active Directory erfolgen. Ein gezipptes Installationspaket, das ein Installationsprogramm im .exe-Format sowie einige Konfigurationsdateien enthält, kann über die Add Agent Schaltfläche auf der Fleet\Agents Seite heruntergeladen werden. Das Informationsfenster, das sich hier öffnet, enthält auch die PowerShell-Syntax, die für die manuelle Ausführung des Installationsprogramms erforderlich ist. Wir weisen darauf hin, dass Sie die spezifische Version des Installationsprogramms verwenden müssen, die der Versionsnummer der Management-Konsole entspricht.

Benutzeroberfläche

Die Endpoint-Protection-Software ist für den Benutzer völlig unsichtbar, mit Ausnahme der Malware-Erkennungswarnungen (siehe unten). Sie erscheint nicht in den Windows Programs and Features oder Apps Listen. Dies bedeutet, dass selbst Benutzer mit Windows-Administratorkonten Schwierigkeiten bei der Deaktivierung haben.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Elastic zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie von der Endpoint-Software erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

ESET PROTECT Entry mit ESET PROTECT Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint Protection Software. Wir sind der Meinung, dass sie für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist, aber auch größere Netzwerke bewältigen kann. Bitte beachten Sie, dass es eine Auswahl an Endpunktschutzsoftware für Windows-Clients gibt. ESET Endpoint Antivirus ist ein Anti-Malware-Programm mit vollem Funktionsumfang; ESET Endpoint Security (das in unseren Tests verwendet wurde) enthält zusätzliche Funktionen wie eine Web-Kontrollfunktion und ESETs Netzwerkschutzmodul. Das Paket enthält auch ESET File Security für Windows Server.

Vorteile

  • Modernes, anpassungsfähiges Oberflächendesign
  • Einfacher Zugriff auf Funktionen über eine einzige Menüspalte
  • Die anklickbare, vernetzte Konsole macht es einfach, zu den Detailseiten zu gelangen
  • Aufgabenautomatisierung über dynamische Gruppen
  • Auswahl der Endpoint-Protection-Software

Management Console

Dashboard/Computers Seite

So erhalten Sie auf einen Blick einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und abtrünnigen Computern sehen. Die Zeiten der letzten Verbindung/Aktualisierung und die Verteilung der Betriebssysteme werden angezeigt. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassbar. Sie können sie u. a. verschieben, in der Größe verändern und den Diagrammtyp ändern. Andere Registerkarten auf der Dashboard Seite lassen Sie den Gesamtstatus, Antiviren- oder Firewall-Bedrohungen, ESET-Anwendungen und cloudbasierten Schutz einsehen.

Computers Seite

Die Computers Seite (siehe oben) gibt Ihnen einen Überblick über alle verwalteten Geräte und Gerätegruppen im Netzwerk. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Devices with an outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen. Sie können Computer auch in Ihre eigenen Gruppen einteilen und Aufgaben für einzelne oder mehrere Geräte über das Computer am unteren Rand der Seite. Beispiele umfassen Scan, Update, Reboot, Shut Down, Manage Policies, Manage Products, und Remove. Wenn Sie auf den Eintrag eines einzelnen Computers klicken, wird eine detaillierte Informationsseite für dieses Gerät geöffnet (siehe Abbildung unten).

Detections Seite

Die Seite Detections zeigt Informationen über alle Bedrohungen, die von allen verwalteten Geräten im Netzwerk erkannt wurden. Zu den Details gehören Status, Erkennungstyp, Malwaretyp, Erkennungsname, durchgeführte Aktion, Gerätename, Benutzer, Dateipfad sowie Datum und Uhrzeit. Sie können auf den Eintrag eines beliebigen Threats klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus zu erfahren. Es ist auch möglich, Dateien von dieser Seite aus auf die Whitelist zu setzen.

Reports Seite

Reports ermöglicht es Ihnen, Daten aus einer Vielzahl von Kategorien zu erfassen, darunter Antivirus detections, Automation, ESET LiveGuard, Firewall detections, Hardware inventory und Quarantine. Für jede Kategorie wird eine breite Palette von vorkonfigurierten Szenarien angeboten, die als Kacheln angezeigt werden. Um einen Bericht über eines dieser Elemente zu erstellen, müssen Sie nur auf die entsprechende Kachel klicken. Beispielberichte in der Antivirus detections sind Active detections, Blocked files in last 30 days, High severity detection events in last 7 days, und Last Scan. Sie können auch eigene Berichtsszenarien erstellen, wenn Sie möchten.

Tasks Seite

Mit Tasks können Sie eine Vielzahl von Aktionen auf einzelnen Geräten oder Gerätegruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z.B. die Installation von Windows Updates und das Herunterfahren des Betriebssystems.

Installers Seite

Hier können Sie Installationspakete erstellen, die für die Bereitstellung der Endpoint-Protection-Software verwendet werden. Wenn Sie sich zum ersten Mal an der Konsole anmelden, können Sie dies mit Hilfe eines Einführungsassistenten sofort tun. Um ein Installationsprogramm zu erstellen, wählen Sie das entsprechende Produkt aus und konfigurieren die Installationsoptionen.

Policies Seite

Hier finden Sie eine praktische Liste mit vorkonfigurierten Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Es gibt separate Richtlinien für Windows-Server, Windows-Clients und macOS/Linux-Clients. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien erstellen, wenn Sie möchten. Für die Mechanismen des maschinellen Lernens gibt es zwei Einstellungen: Reporting oder Protection.

Notifications Seite

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Status overview Seite

Die Status Overview Seite einen kurzen Überblick über wichtige Statusinformationen, unterteilt in die Kategorien Licences, Computers, Mobile Devices, Agents, ESET components and security products, Invalid Objects und Questions. Die Invalid Objects Abschnitt weist z.B. auf Richtlinien hin, die sich auf veraltete Installationsprogramme beziehen. Questions weist auf "Entscheidungen [die] nicht automatisch getroffen werden können und die die Aufmerksamkeit des Verwalters erfordern".

More\Submitted files Seite

Diese Seite zeigt eine Liste von möglicherweise verdächtigen Dateien auf geschützten Endpunkten an, die an ESETs LiveGrid Dienst zur Analyse übermittelt wurden. Die Dateien können automatisch vom System, manuell vom Nutzer oder von einem anderen ESET-Administrator oder -System übermittelt worden sein.

More\Exclusions Seite

Die Seite Exclusions zeigt Dateien/Pfade, die von der Erkennung/dem Scannen ausgeschlossen wurden, und enthält Anweisungen zum Erstellen solcher Ausschlüsse.

More\Quarantine Seite

Hier sehen Sie alle unter Quarantäne gestellten Dateien sowie nützliche Details wie den Hash, den Erkennungstyp (Trojaner, PUA, Testdatei) und die Anzahl der betroffenen Computer. Sie können unter Quarantäne gestellte Dateien wiederherstellen oder löschen.

More\Computer Users Seite

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

More\Audit Log Seite

Hier wird eine Aufzeichnung der von Konsolenbenutzern durchgeführten Aktionen angezeigt. Sie können u.a. An- und Abmeldungen sowie das Umbenennen und Verschieben von Computern sehen.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .exe- oder GPO/SCCM-Skriptformat können erstellt und von der Installers Seite heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über Active Directory ausgeführt werden. Sie können ein Installationsprogramm auch direkt über die Installers Seite per E-Mail an andere Benutzer senden. Das Installationsprogramm kann so konfiguriert werden, dass keine Entscheidungen getroffen werden müssen, so dass die Installation auch für nicht erfahrene Benutzer einfach ist. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Option Password protect settings Option in der Richtlinie. Wir weisen darauf hin, dass nach der Installation automatisch ein erster Scan des Endpunkts durchgeführt wird.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster, das unten abgebildet ist. Sowohl ESET Endpoint Antivirus als auch ESET File Security for Windows Servers verwenden eine nahezu identische Oberfläche wie ESET Endpoint Security.

Der Nutzer kann den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und vollständige oder benutzerdefinierte Scans durchführen. Nutzer können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie Benutzern mit Windows-Administratorkonten die volle Kontrolle über das Programm geben. Alternativ dazu können Sie die Benutzeroberfläche für alle Benutzer ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen, wurden wir von ESET Endpoint Security aufgefordert, das Laufwerk zu scannen. Wir lehnten ab und öffneten das Laufwerk im Windows Explorer. ESET erkannte die schädlichen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich. Es wird jedoch ein Link angezeigt, der weitere Details zur Bedrohung enthält. Sie können Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

G Data Endpoint Protection Business bietet eine serverbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Diese kann auf jedem aktuellen Windows-Server- oder Windows-Client-Betriebssystem installiert werden. Innerhalb einer Organisation können mehrere Verwaltungsserver eingesetzt und von einer einzigen Konsole aus verwaltet werden. Für den Schutz virtueller Maschinen ist eine Option verfügbar, die einen "Light"-Agenten und einen virtuellen Scan-Server verwendet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Geräten.

Vorteile

  • Vertraute, MMC-ähnliche Verwaltungskonsole
  • Gruppen können mit Active Directory synchronisiert werden
  • Einfache Verwaltung von Computergruppen
  • Hoher Grad an Kontrolle über die GUI der Endpunkt-Software
  • Eine einzige Installationsdatei für den Verwaltungsserver und den Windows-Endpoint-Protection-Client

Server-Installation

G Data stellt ein einziges Installationspaket zur Verfügung, mit dem Sie sowohl die Management-Konsole als auch die Endpunktschutz-Software einrichten können. Mit dem Assistenten für die Konsoleninstallation können Sie eine vorhandene SQL Server-Installation verwenden, wenn Sie eine haben. Alternativ kann er SQL Server 2014 Express zusammen mit der Verwaltungssoftware installieren. Die Installation ist sehr schnell und einfach, und Sie können sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Die integrierte Authentifizierung von G Data ist als Option verfügbar. Bei der ersten Anmeldung an der Konsole wird ein (optionaler) Einrichtungsassistent ausgeführt. Dieser deckt Punkte wie die zu installierenden Computer, Internet-Update-Einstellungen, E-Mail-Benachrichtigungen und die Authentifizierung für Android-Clients ab.

Management Console

Die Dashboard Seite der Konsole ist in der obigen Abbildung zu sehen. Mit Management Server und Clients ,in den Registerkarten in der linken oberen Ecke, können Sie zwischen den jeweiligen Computertypen wechseln. Unter Management Server, können Sie Elemente für Ihre(n) Administrationsserver konfigurieren. Dazu gehören Konsolenbenutzer, die Synchronisierung mit Clients/Subnet-Servern/Active Directory, die Verteilung von Software-Updates und die Lizenzverwaltung. Der Rest der Konsolenbeschreibung bezieht sich auf die Seiten der Client-Verwaltung.

Clients Seite

Hier können Sie die Gerätegruppenstruktur für jeden Verwaltungsserver sehen und darin navigieren. Standardmäßig gibt es getrennte Gruppen für Computer (Windows, macOS und Linux) einerseits und für Android-Mobilgeräte andererseits. Sie können innerhalb dieser Gruppen problemlos eigene Untergruppen erstellen, die mit Organisationseinheiten synchronisiert werden können, wenn Sie Active Directory verwenden. Sie können den G Data Endpoint Security Client automatisch auf Computern installieren, indem Sie sie einfach zu einer bestimmten synchronisierten Gruppe hinzufügen. Über die Gruppenstruktur in der Clients Seite können Sie auch Geräte auf der Grundlage ihrer Gruppenzugehörigkeit überwachen, verwalten und konfigurieren. Wenn Sie auf die oberste Gruppe in Clients klicken, werden die im Hauptfenster vorgenommenen Konfigurationsänderungen (z.B. Client Settings) auf alle Computer angewendet. Wenn Sie auf eine Untergruppe klicken, wirken sich die vorgenommenen Änderungen nur auf die Geräte in dieser Gruppe aus. Sie können die Konfiguration eines Geräts ändern, indem Sie es einfach in eine Gruppe mit einer anderen Richtlinie verschieben.

Dashboard Seite

Für den ausgewählten Server oder die Gruppe bietet die Standard Dashboard Seite der Konsole eine grafische Anzeige von vier wichtigen Statuselementen. Der erste ist der Status der einzelnen Komponenten, der anzeigt, wie viele Geräte korrekt konfiguriert sind. Dann gibt es den Anteil der Geräte, die sich kürzlich mit der Konsole verbunden haben. Sie können auch sehen, bei welchen Clients die meisten Bedrohungen erkannt wurden. Schließlich gibt es noch eine Zeitleiste mit wichtigen Ereignissen.

Clients Seite

Die Overview Tab der, oben gezeigten, Clients Seite listet die verwalteten Geräte auf. Sie können Informationen wie Status, verwendete Definitionen, Client-Version und ob ein Neustart erforderlich ist, einsehen. Die Spalten sind anpassbar. So können Sie auch das Betriebssystem, den letzten aktiven Benutzer und verschiedene Netzwerkelemente wie IP-Adresse und DNS-Server anzeigen. Sie können Computer nach den Daten in einer der Spalten gruppieren, indem Sie die Spaltenüberschrift auf die dunkelgraue Leiste direkt darüber ziehen. Über die Schaltflächen in der oberen Reihe können Sie verschiedene Aufgaben auf den Computern ausführen. Dazu gehören das Installieren oder Deinstallieren von Client-Software, das Aktualisieren von Definitionen und Software sowie das Löschen von Geräten. So können Sie z.B. Computer nach Virus signature update/time, gruppieren und dann eine Aktualisierungsaufgabe für alle veralteten Dateien ausführen. Die Software Schaltfläche, in der oberen Symbolleiste, bietet eine detaillierte Übersicht über die auf dem/den Client-Gerät(en) installierten Programme. Hardware zeigt grundlegende Systemdetails wie CPU, RAM und freien Speicherplatz an.

Client settings Seite

Die Client settings Seiten können Sie einige Optionen konfigurieren, z.B. den Proxy-Server und automatische Signatur- und Programm-Updates. Sie können den Benutzern auch ein gewisses Maß an Interaktion mit der Endpunktsoftware auf ihren PCs erlauben. So können Sie ihnen beispielsweise erlauben, Scans durchzuführen und/oder die lokale Quarantäne anzuzeigen.

Wie zu erwarten, können Sie auf der Seite Tasks den Status der von Ihnen eingerichteten Aufgaben, z.B. der Installation, einsehen. Logs bietet eine detaillierte Liste relevanter Ereignisse. Dazu gehören Malware-Erkennungen, Updates und Einstellungsänderungen. Statistics listet den Status einzelner Schutzkomponenten auf, wie z.B. Email Protection und Anti-Ransomware.

In der linken unteren Ecke der Konsole finden Sie eine Reihe von Verknüpfungen zu bestimmten Seiten. Die, unten gezeigte, Security. Die unten gezeigte Seite listet Malware-Erkennungen auf. Zu den Details gehören Client-Name, Status (durchgeführte Aktion), Datum und Uhrzeit, Erkennungskomponente, Name der Bedrohung, Dateiname und angemeldeter Benutzer. Die Seite Details Spalte wird die Quell-URL der erkannten Malware angezeigt, sofern zutreffend. Durch Auswahl eines oder mehrerer Elemente können Sie Maßnahmen ergreifen, wie z.B. das Löschen oder Wiederherstellen von unter Quarantäne gestellten Elementen.

Auf der Seite Info werden Ereignisinformationen wie Softwareinstallation und Client-Neustart angezeigt. Die Seite Signatures zeigt Konfigurationsoptionen für Definitionsupdates an. Hier können Sie auch ein Update mit einem einzigen Klick starten. Program prüft, ob die Management-Konsole selbst die neueste verfügbare Version ist.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint Protection Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Bei der ersten Verwendung der Konsole wird ein Bereitstellungsassistent ausgeführt, mit dem Sie die Endpoint Protection Software über das Netzwerk auf die Clients übertragen können. Alternativ können Sie das Installationsprogramm manuell auf einzelnen Client-Geräten ausführen oder ein Systemverwaltungsprodukt oder eine Active Directory-Integration verwenden. Um den Client mit einem Verwaltungsserver zu verbinden, müssen Sie lediglich den Hostnamen oder die IP-Adresse des Servers in den Einrichtungsassistenten eingeben.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht lediglich aus einem Symbol in der Taskleiste. Über dieses Symbol können Definitionsaktualisierungen ausgeführt und Programminformationen angezeigt werden. Standardmäßig werden keine weiteren Funktionen bereitgestellt. Wenn Sie jedoch die Richtlinie ändern, können Sie den Benutzern die Durchführung von Scans (Schnell-, Voll-, benutzerdefinierte Scans und Rechtsklick), die Anzeige der Quarantäne und die Konfiguration von Schutzkomponenten ermöglichen. Diese können einzeln ausgewählt werden. Sie können das gesamte Programm mit einem Passwort schützen, so dass nur autorisierte Benutzer Zugriff auf die Funktionen haben. Es ist auch möglich, das Symbol im System Tray auszublenden, so dass das Produkt unsichtbar bleibt.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte G Data die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung (Screenshot unten) angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

Wie der Name schon sagt, bietet K7 On-Premises Enterprise Security eine serverbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Der Zugriff erfolgt über einen Webbrowser. Das Produkt ist für Unternehmen jeder Größe konzipiert. Wir sind der Meinung, dass es aufgrund des sehr einfachen und benutzerfreundlichen Konsolendesigns besonders für kleinere Unternehmen und weniger erfahrene Administratoren geeignet ist.

Vorteile

  • Geeignet für Kleinstunternehmen aufwärts
  • Leicht zu navigierende Konsole
  • Schnelle Kommunikation zwischen Konsole und LAN-Clients
  • Einfach zu bedienende Funktion zur Anwendungssteuerung
  • Granulare Kontrolle der im Endpunktschutz-Client angezeigten Funktionen

Server-Installation

Die Verwaltungskonsole wird auf dem Server installiert, indem die mitgelieferte EXE-Datei ausgeführt wird. Sie können Microsoft SQL Server 2014 als Teil des Installationsassistenten installieren oder eine bestehende MS SQL Server-Instanz verwenden, wenn Sie eine haben. Mit dem Assistenten können Sie dann die Anmeldedaten für den Konsolenadministrator, die Einstellungen für den Proxyserver und die für den Webzugriff zu verwendende Portnummer festlegen. Optional können Sie auch E-Mail-Details für Benachrichtigungen einrichten. Wir fanden die Einrichtung des Servers sehr einfach und unproblematisch.

Management Konsole

Alle wichtigen Funktionen der Konsole sind über ein einziges Menüfeld auf der linken Seite zugänglich. Die wichtigsten Einträge hier sind Dashboard, Manage Clients, Application Control, Settings, Administration, und Report. Wenn Sie mit der Maus über eines dieser Elemente fahren, werden die entsprechenden Untermenüs angezeigt.

Dashboard Seite

Nach der Anmeldung öffnet sich die Konsole auf der Dashboard Seite (Screenshot oben), die einen Überblick über den Systemstatus gibt. Es gibt verschiedene Detailbereiche, darunter eine Zeitleiste der in den letzten 24 Stunden erkannten Bedrohungen, den Sicherheitsstatus der Geräte im Netzwerk, den Anteil der Geräte, auf denen bestimmte Windows-Versionen ausgeführt werden, und Lizenzinformationen. Sie können auch die Anzahl der erkannten Bedrohungen und Schwachstellen sowie die Anzahl der blockierten Geräte/Anwendungen/Websites im Laufe des letzten Tages, der letzten Woche oder des letzten Monats einsehen. Es gibt einen Link von der Security Status Panel zur Clients Seite, so dass Sie durch Anklicken der Seite weitere Informationen erhalten.

Manage Clients\Clients Seite

Die Clients Seite listet einzelne Computer im Netzwerk auf. Zu den Details gehören Hostname, IP-Adresse, Gruppe, Status der Antiviren- und Firewall-Komponenten, Malware-Definitionen und Produktversionsnummern sowie Datum/Uhrzeit der letzten Aktualisierung/des letzten Kontakts. Sie können die Detailspalten individuell anpassen, so dass Sie z.B. Betriebssystem- oder Domäneninformationen oder Datum und Uhrzeit des letzten Scans hinzufügen können. Wenn Sie mit der Maus über den Hostnamen eines Computers fahren, wird ein Menü angezeigt, in dem Sie die Details des Geräts anzeigen, die Gruppenzugehörigkeit ändern, Schutzkomponenten aktivieren oder vorübergehend deaktivieren, Scans und Updates durchführen, den Computer neu starten oder das Produkt deinstallieren können.

Manage Clients\Group Seite

Die Group Seite der Konsole lässt Sie Gerätegruppen verwalten. Sie können Gruppen hinzufügen, löschen und bearbeiten, wobei der letztgenannte Befehl verwendet werden kann, um eine bestimmte Richtlinie anzuwenden.

Manage Clients\Tasks Seite

Auf dieser Seite können Sie eine Reihe von Aufgaben auf ausgewählten Computern ausführen. Dazu gehören vollständige, schnelle, benutzerdefinierte, Schwachstellen- und Rootkit-Scans sowie Client-Updates. Das Erstellen einer Aufgabe ist sehr einfach: Sie müssen nur eine Aktion aus der Dropdown-Liste auswählen und dann die Computer oder Gruppen auswählen, auf die sie angewendet werden soll.

Manage Clients\Policy Seite

Die Policies Seite können Sie die Einstellungen für die Endpoint Software steuern. Diese sind praktischerweise in folgende Gruppen unterteilt Antivirus and Spyware, Behaviour Protection, Firewall, Intrusion Detection, Web Filtering, Device Control, Update and Client Privileges. Der Antivirus and Spyware Konfigurations Tab sind oben abgebildet.

Application Control\Block Rule Seite

Von dieser Seite aus können Sie ganz einfach regeln, welche Anwendungen ausgeführt werden oder auf das LAN/Internet zugreifen dürfen. Dazu geben Sie ganz einfach den Ordnerpfad und den Dateinamen ein und legen dann fest, für welche Computer oder Gruppen die Sperre gelten soll. In einem letzten Schritt können Sie eine der folgenden Optionen festlegen: Block from running; Block Internet Access; Block Network Access.

Settings Section

Hier können Sie systemweite Konfigurationen wie Benachrichtigungen, Konsolen-Updates, Proxy-Einstellungen und Lizenzen konfigurieren.

Administration Section

Unter diesem Hauptmenüpunkt können Sie Konsolenbenutzer, Administrationsrollen und relevante Einstellungen wie Sitzungs-Timeout-Zeit und Passwortkomplexität verwalten.

Report Section

Auf diese Weise lassen sich auf einfache Weise zusammenfassende oder detaillierte Berichte über Elemente wie erkannte Bedrohungen, blockierte Anwendungen/Websites, Gerätezugriffsverletzungen, Computer mit Vorfällen, Hardware-Assets und Scanergebnisse erstellen. Sie können Tag, Woche, Monat, Jahr oder als Zeitintervall für den Bericht angeben oder einen benutzerdefinierten Zeitraum verwenden.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint Protection Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Auf der Manage Clients\Install Protection Seite können Sie ein Installationspaket im .exe-Format herunterladen. Sie können auch Ihr eigenes Installationsprogramm erstellen und die Gruppe angeben, zu der die installierten Computer hinzugefügt werden sollen. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können sie auch direkt von der Download-Seite aus per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Die Standardrichtlinieneinstellungen verhindern, dass Benutzer (auch solche mit Administratorkonten) die Software deaktivieren oder deinstallieren können.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Benutzer können den Schutzstatus anzeigen, Updates ausführen und Schnell-, Voll-, benutzerdefinierte und Rootkit-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklick-Menü von Windows Explorer scannen. Wenn Sie die Richtlinien ändern, können Sie den Benutzern die volle Kontrolle über das Programm geben oder es komplett sperren.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte K7 die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Warnmeldungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Kaspersky Endpoint Security for Business (KESB) Select ist eine Stufe der Produktlinie Endpoint Security for Business von Kaspersky. Sie richtet sich an mittlere und größere Unternehmen. Das Produkt bietet die Wahl zwischen einer serverbasierten und einer cloudbasierten Konsole zur Verwaltung der Endpunktschutzsoftware. Wir haben uns in diesem Test die Cloud-Konsole angesehen.

Vorteile

  • Wahlweise Server- oder Cloud-basierte Verwaltungskonsole
  • Einfache Navigation der Konsole über ein einziges Menü
  • Einrichtungsassistent für eine vereinfachte Client-Installation
  • Anpassbare Weboberfläche
  • Granulare rollenbasierte Zugriffskontrollen

Management Konsole

Die Funktionen der Konsole sind in einer einzigen Menüspalte auf der linken Seite angeordnet. Die Hauptmenüpunkte sind Monitoring & Reporting, Devices, Users & Roles, Operations, und Discovery & Deployment. Jeder dieser Punkte lässt sich erweitern und zeigt Unterseiten an.

Monitoring and Reporting Section

Die Seite Dashboard (siehe oben) bietet einen grafischen Überblick über die wichtigsten Informationen. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Die Seite ist anpassbar, und Sie können verschiedene Bereiche (Web Widgets) nach Belieben hinzufügen oder entfernen.

Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können einfach aus einer vorkonfigurierten Liste abgerufen werden.

Unter Event können Sie Berichte über Kategorien wie Benutzeranfragen, kritische Ereignisse, Funktionsfehler und Warnungen erstellen.

Devices Section

Die Policies and Profiles Seite lässt Sie neue Konfigurationsrichtlinien für Geräte/Gerätegruppen erstellen und anwenden. Auf der Tasks Seite können Sie alltägliche Wartungs- und Sicherungsaufgaben durchführen, z.B. Remote-Installation und -Updates.

Die Managed Devices Seite listet wie oben gezeigt, die verwalteten Computer zusammen mit dem Status der wichtigsten Komponenten auf. Sie können die Liste nach Kriterien wie Status, Echtzeitschutz oder letzte Verbindungszeit sortieren und filtern. Die Liste ist anpassbar, so dass Sie zusätzliche Kriterien wie Betriebssystem oder Netzwerkdetails hinzufügen können. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören die Installation, Deinstallation oder die Änderung der Gruppenmitgliedschaft.

Sie können auf den Namen eines einzelnen Computers klicken, um dessen Detailseite anzuzeigen. Hier sehen Sie verschiedene Details des Geräts, die auf verschiedenen Tabs angezeigt werden. Dazu gehören Betriebssystem, Netzwerkinformationen, Schutzstatus, installierte Kaspersky-Anwendungen, aktive Richtlinien sowie laufende Schutzkomponenten und Aufgaben. Auf der Seite Events finden Sie detaillierte Informationen zur Erkennung und Beseitigung von Malware.

Die folgende Abbildung zeigt die drei Phasen der Behandlung eines Malware-Samples: Erkennung, Erstellung einer Sicherungskopie und Löschung:

Die Device Selections Seite lässt Sie Geräte in vorkonfigurierten Gruppen suchen. Beispiele sind Databases are outdated und Devices with Critical Status. Diese ermöglichen es Ihnen, alle Geräte im Netzwerk zu identifizieren, die Ihre Aufmerksamkeit benötigen.

Users & Roles Section

Unter Users, können Sie eine Liste der vordefinierten Konsolenbenutzer sowie der lokalen Windows- und Domänenkonten für die Windows-Computer im Netzwerk sehen. Auf der Seite Roles Seite können Konsolenbenutzer einer von 15 verschiedenen Verwaltungsrollen zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Operations Section

Unter anderem enthält der Operations Tab Licensing und Repositories. Letzteres umfasst die Quarantänefunktionen, Installationspakete und Details zur Hardware der verwalteten Geräte. Unter Patch Management\Software Updates können Sie (unter anderem) fehlende Windows-Updates sehen:

Discovery & Deployment Section

Dazu gehören verschiedene Funktionen zur Erkennung nicht verwalteter Geräte im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Discovery lässt Sie anhand verschiedener Kategorien wie Domänenzugehörigkeit oder IP-Adressbereich nach Geräten im Netzwerk suchen. Unassigned Devices zeigt Computer an, die im Netzwerk gefunden wurden, aber noch nicht verwaltet werden.

Windows Endpoint Protection-Client

Deployment

Bei der ersten Verwendung der Konsole wird ein Bereitstellungsassistent ausgeführt, der Sie durch die Schritte führt, die erforderlich sind, um die Endpunktsoftware über das Netzwerk an Clients zu übertragen. Dieser Assistent kann später (erneut) von Discovery & Deployment\Deployment & Assignment\Quick Start Wizardausgeführt werden. Das ist ein sehr sauberer und einfacher Prozess. Die Endpoint-Protection-Software kann auch über ein Systemverwaltungsprodukt oder Active Directory bereitgestellt werden. Alternativ können Sie auch ein eigenständiges Installationspaket herunterladen, unter Discovery & Deployment\Deployment & Assignment\Installation Packages.

Benutzeroberfläche

Die Anwendung zeigt sich auf dem Windows-Desktop mit einem Symbol in der Systemablage und einem Programmfenster. Über das Rechtsklick-Menü des Windows Explorers können Benutzer manuelle Untersuchungen von lokalen und entfernten Laufwerken, Ordnern oder Dateien durchführen. Sie können auch Dateien auf ihre Reputation im Kaspersky Security Network prüfen, ebenfalls über das Kontextmenü des Explorers.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows-Explorer öffneten, erkannte Kaspersky die schädlichen Dateien nach wenigen Sekunden und isolierte sie. Es wurde kein Warnhinweis angezeigt. Sie können jedoch Warnungen über eine Richtlinie aktivieren, wenn Sie dies wünschen.

Über das Produkt

Malwarebytes EDR bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Dank seiner Benutzerfreundlichkeit eignet sich das Produkt für kleinere Unternehmen, kann aber auch mit Zehntausenden von Geräten umgehen.

Vorteile

  • Leicht zu navigierende Cloud-Konsole
  • Seiten können leicht angepasst werden
  • Die anklickbare Oberfläche macht es einfach, mehr Details zu finden
  • Schutz vor Brute-Force-Angriffen
  • Client-Software-Inventar

Management Konsole

Die Navigation in der Cloud-Konsole erfolgt über eine einzige, übersichtliche Menüspalte auf der linken Seite. Die Elemente sind Dashboard, Endpoints, Software Inventory, Vulnerabilities, Patch Management, Device Control, Detections, Quarantine, Brute Force Protection, Suspicious Activity, Flight Recorder, DNS Filtering, Sandbox Analysis, Reports, Events, Tasks, Downloads, und Settings.

Dashboard Seite

Diese ist im obigen Screenshot dargestellt. Es bietet einen Überblick über relevante Security-Informationen in verschiedenen Bereichen, viele davon mit grafischen Darstellungen. Die obersten davon sind Endpoints by status, Detections per day, Detections cleaned, Detections by category, und Detections by status. Standardmäßig werden 15 Bereiche angezeigt. Das Dashboard kann jedoch leicht angepasst werden, so dass Sie nach Belieben Bereiche hinzufügen, entfernen oder verschieben können. Die einzelnen Elemente in dem Endpoints by status Panel sind mit gefilterten Seiten verknüpft, auf denen die betreffenden Geräte angezeigt werden. Klicken Sie also zum Beispiel auf Scan Needed , wird eine Liste mit genau diesen Geräten angezeigt. Das gleiche Prinzip wird bei einigen anderen Feldern angewendet. Wenn Sie mit der Maus über die Balkendiagramme fahren, wird ein Popup-Fenster mit weiteren Details angezeigt.

Endpoints Seite

Hier sehen Sie die geschützten Computer in Ihrem Netzwerk. Sie können für jedes Gerät den letzten Benutzer, den Status, das Betriebssystem, die zugewiesene Gruppe, die angewandte Richtlinie und das Datum des letzten Besuchs sehen. Wenn Sie ein oder mehrere Endgeräte auswählen, können Sie Aufgaben aus dem Fenster Actions Menü starten. Beispiele sind Scannen, Aktualisieren, Neustarten und Löschen.

Software Inventory Seite

Hier sehen Sie die gesamte Software, die auf allen Computern in Ihrem Netzwerk installiert ist. Für jede Anwendung können Sie die Versionsnummer, das Installationsdatum, den Namen des Endpunkts und das Betriebssystem sehen. Diese Daten können im .CSV- oder .XLSX-Format exportiert werden.

Detections Seite

Wie zu erwarten, werden hier Instanzen von Malware angezeigt, die auf Netzwerkcomputern gefunden wurden. Sie können den Namen der Bedrohung, die durchgeführte Aktion, die Kategorie der Bedrohung (z. B. Ransomware), den Typ der Bedrohung (z.B. Datei), den betroffenen Endpunkt, den lokalen Pfad und Datum/Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen einer Bedrohung klicken, öffnet sich ein Fenster mit einer Zusammenfassung der Informationen zu dieser Erkennung, einschließlich Dateihashes.

Quarantine Seite

Hier wird unter Quarantäne gestellte Malware angezeigt, die auf geschützten Geräten erkannt wurde. Sie können den Namen und den Pfad der Bedrohung, die Kategorie und den Typ der Bedrohung, den Gerätenamen sowie Datum und Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen einer Bedrohung klicken, wird ein Fenster mit Details zu dieser bestimmten Erkennung angezeigt. In Quarantäne gestellte Objekte können über das Actions Menü einzeln oder alle zusammen ausgewählt und aus der Liste der erkannten Bedrohungen gelöscht oder wiederhergestellt werden.

Reports Seite

Damit können Sie Berichte zu einer Vielzahl von Themen erstellen: Assets Summary, Detections Summary, Device Control Summary, Endpoints Summary, Events Summary, Quarantine Summary, Tasks Summary, und Weekly Security Report. Diese können nach Bedarf oder nach einem Zeitplan täglich, wöchentlich oder monatlich ausgeführt und per E-Mail an den Administrator (und auf Wunsch an weitere Empfänger) gesendet werden. Die Weekly Security Report bietet einen einfachen Überblick über die Sicherheitslage und zeigt Kacheln an, die Statistiken für Endpoint activity status, Endpoint protection summary, Endpoints needing attention, Top 5 operating systems, und Threats. Zur Hervorhebung der Statistiken wird ein Ampel-Farbsystem verwendet, wobei z.B. kritische Punkte rot dargestellt werden.

Downloads Seite

Auf dieser Seite finden Sie Installer-Dateien für alle unterstützten Betriebssysteme. Eine Informationstafel am oberen Rand listet bequem die möglichen Bereitstellungsmethoden auf, z.B. Active Directory Group Policy.

Settings\Policies Seite

Hier können Sie die Richtlinien konfigurieren, die die Einstellungen für geschützte Geräte festlegen. Der Screenshot oben zeigt die Endpoint Agent Abschnitt der Standardrichtlinie. Auf der linken Seite der Seite befinden sich Links zu den verschiedenen Richtlinienbereichen: Endpoint Agent, Tamper Protection, Protection Settings, Scan Settings, Endpoint Detection and Response, Brute Force Protection und Software Management. Für Windows-Geräte können Sie u.a. die Integration mit dem Windows Action Center aktivieren. Mit der Brute-Force-Schutzfunktion können Sie sich z.B. gegen böswillige Remotedesktop-Verbindungen schützen.

Windows Endpoint Protection-Client

Deployment

Auf der Seite Downloads der Konsole können Sie Installationsprogramme herunterladen oder Links zur Installation per E-Mail versenden. Sie haben die Wahl zwischen .exe- und .msi-Installationsdateien; letztere haben spezielle Versionen für 32- und 64-Bit-Systeme. Der Setup-Assistent ist sehr schnell und einfach und sollte für nicht erfahrene Benutzer keine Probleme bereiten. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie den Abschnitt Tamper Protection in der entsprechenden Richtlinie verwenden.

Benutzeroberfläche

Der Malwarebytes-Endpoint-Client hat eine minimalistische Benutzeroberfläche. Es gibt ein Symbol in der Systemablage, über das die Benutzer einen Scan starten können. In einem kleinen Fenster wird dann der Scan-Status angezeigt. Nutzer können ein Laufwerk, einen Ordner oder eine Datei auch über das Rechtsklickmenü des Windows Explorers scannen. Das Symbol in der Systemablage kann per Richtlinie ausgeblendet werden, wenn Sie dies wünschen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware an unseren PC anschlossen und es im Windows Explorer öffneten, reagierte Malwarebytes zunächst nicht. Wir konnten die Malware-Samples auf den Windows-Desktop kopieren. Als wir jedoch versuchten, sie auszuführen, wurden die schädlichen Dateien sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die den Dateinamen, den Pfad und den Erkennungsnamen der Malware enthielt. Eine Benutzeraktion war weder erforderlich noch möglich, und die Meldung wurde nach wenigen Sekunden geschlossen.

Über das Produkt

Die cloudbasierte Microsoft Endpoint Manager-Konsole ermöglicht Administratoren die zentrale Verwaltung und Überwachung von Funktionen und Einstellungen auf allen Arten von Geräten. In diesem Bericht haben wir nur die Funktionen der Verwaltungskonsole in Bezug auf die Endpunktsicherheit für Microsoft Defender Antivirus behandelt, Microsofts eigenes Antivirenprogramm, das in die Betriebssysteme Windows 10 und Windows 11 integriert ist.

Microsoft Endpoint Manager ist für Kunden von Microsofts Cloud-Diensten für Unternehmen verfügbar; die Lizenzierung variiert je nach Art des Abonnements. Er kann zur Verwaltung einer breiten Palette von Microsoft-Funktionen und -Diensten verwendet werden, darunter Microsoft Intune, Configuration Manager, Endpoint Analytics, endpoint security, tenant-attach, co-management, und Windows Autopilot.

Vorteile

  • Steuert alle Windows-Security Einstellungen
  • Die Konsole ist konfigurierbar
  • Außergewöhnlich einfache Client-Bereitstellung
  • Geeignet für Unternehmen jeder Größe, die Microsoft Cloud Services für Unternehmen nutzen
  • Granulare Kontrolle der Security-Optionen

Management Console

Endpoint Security | Overview Seite

Dies ist im obigen Screenshot zu sehen. Es ist das Haupt-Dashboard für die Endpoint-Security-Funktionen der Plattform. Hier sehen Sie einen Überblick über die einzelnen Schutzkomponenten, die konfiguriert werden können. Beispiele sind Antivirus, Disk Encryption, und Firewall. Hier können Sie auch Security Baselinessehen. Dies sind Richtlinienvorlagen mit empfohlenen Einstellungen für alle relevanten Security-Funktionen in Windows. Es gibt Baselines für Windows 10 Security, Microsoft Defender for Endpoint, und Microsoft Edge. Microsoft teilt uns mit, dass diese häufig aktualisiert werden.

Endpoint Security | Antivirus Seite

Die Registerkarte Summary (siehe oben) bietet einen Überblick über den Sicherheitsstatus Ihres Netzwerks. Sie zeigt die Anzahl der Windows 10 unhealthy endpoints (Geräte mit sicherheitsrelevanten Problemen) und Aktive Malware across categories (eine Aufschlüsselung der gefundenen Malware-Typen).

Unter diesem, lässt Sie AV policiesIhre eigenen Antivirus-Richtlinien erstellen und bearbeiten. Microsoft Defender Antivirus policies lässt Sie Einstellungen für Malware-Schutzfunktionen festlegen. Diese sind in Kategorien unterteilt: Cloud Protection, Microsoft Defender Antivirus Exclusions, Real-Time Protection, Remediation, Scan, Updates und User Experience.

Die Konfigurationsoptionen für jede Kategorie sind übersichtlich in einer Liste angeordnet, wobei jedes Element über ein eigenes Dropdown-Menü für seine Einstellungen verfügt. Eine kleine Informationsschaltfläche neben jedem Element zeigt eine kurze Erläuterung der Komponente und ihrer Einstellungen an. Beispiele für Optionen, die in dem Real-Time Protection Abschnitt zu finden sind, sind Turn on real-time protection, Enable on-access protection, Turn on behaviour monitoring, Enable network protection, und Scan scripts that are used in Microsoft browsers.

Die Kategorie User Experience hat nur eine Einstellung: Allow user access to Microsoft Defender app. Wenn Sie diese Einstellung deaktivieren, wird die Oberfläche von Microsoft Defender Antivirus (Windows Security) ausgeblendet und Malware-Warnungen auf Client-Geräten werden unterdrückt. Die Security Experience-Richtlinien bieten jedoch einen viel detaillierteren Ansatz. Sie ermöglichen es Ihnen, bestimmte Oberflächenbereiche der Windows Security-App auszublenden, z.B. Firewall and Network Protection oder App & Browser Control.

Es gibt noch eine dritte Kategorie von Maßnahmen, Microsoft Defender Antivirus exclusions, die es Ihnen ermöglicht, Scan-Ausschlüsse zu konfigurieren.

Die Registerkarte Windows 10 unhealthy endpoints der Seite Endpoint Security\Antivirus zeigt einen Bericht über Geräte an, die Aufmerksamkeit erfordern. Zu den Details gehören der Status des Malware-Schutzes, des Echtzeitschutzes und des Netzwerkschutzes. Wie bei anderen Seiten können Sie das Layout mithilfe der Spaltenauswahl ändern, um Felder zu modifizieren, zur besseren Suche in eine Rasteransicht wechseln, nach einer beliebigen Spalte sortieren und die Liste der Datensätze in eine .csv-Datei exportieren, um sie lokal zu speichern. Über eine Reihe von Schaltflächen am oberen Rand der Seite können Sie ausgewählte Computer einfach neu starten oder Schnell- bzw. Vollscans und Updates für sie durchführen.

Auf der Registerkarte Windows 10 detected malware können Sie Geräte und Benutzer mit aktiver Malware sehen. Diese Ansicht enthält Details wie den Malware-Status, aktive Malware, Kategorie und Schweregrad. Sie können hier Remote-Aktionen wie Neustart, Schnellüberprüfung, vollständige Überprüfung oder Aktualisierung von Signaturen durchführen, um das Problem zu beheben.

Devices | All devices Seite

Hier können Sie eine vollständige Liste der Geräte in Ihrem Netzwerk sehen. Die Standardspalten zeigen den Gerätenamen, den Verwalter, den Eigentümer, die Konformitätsplattform, die Betriebssystemversion und Datum/Uhrzeit des letzten Kontakts. Sie können die Seite anpassen, indem Sie Spalten, die Sie nicht benötigen, entfernen und andere hinzufügen. Zu den Möglichkeiten gehören Gerätestatus, Anmeldedatum, Sicherheitspatch-Level, Hersteller, Modell, Seriennummer und Wi-Fi-MAC-Adresse. Die Seite Filter am oberen Rand der Seite lässt Sie die Liste nach verschiedenen Kriterien filtern. Beispiele sind Eigentum, Konformität und Betriebssystem. Bulk Device Actions lässt Sie Aufgaben wie Umbenennung, Neustart oder Löschen für die ausgewählten Geräte durchführen. Wenn Sie auf ein einzelnes Gerät klicken, öffnet sich die Device details Seite, siehe unten.

Device details Seite

Hier können Sie den Status der letzten Aufgaben sowie gerätespezifische Informationen wie Hersteller, Modell, Seriennummer und Hauptbenutzer einsehen. Die Menüleiste am oberen Rand der Seite bietet eine Reihe von Verwaltungsoptionen. Sie können Updates und Schnell- oder Vollscans durchführen und das Gerät sperren oder neu starten. Es ist auch möglich, das Gerät zu löschen oder ihm einen Fresh Start zu geben. Letzteres ist das Äquivalent zur Funktion Reset this PC, die man in den Einstellungen von Windows 10 findet. Sie setzt die Software im Wesentlichen auf die Werkseinstellungen zurück, mit Optionen zum Beibehalten oder Löschen von Benutzerdaten.

Windows Endpoint Protection-Client

Deployment

Dies ist extrem einfach, da Microsoft Defender Antivirus bereits in das Windows 10-Betriebssystem integriert ist. Bei einer domänenverbundenen Maschine kann die Verbindung eines Client-Geräts mit Microsoft Endpoint Manager so einfach sein wie die Anmeldung mit einem entsprechenden Geschäftskonto in dem Accounts\Access work or school Abschnitt der Windows-Einstellungen. Automatische Anmeldemethoden über GPO oder Unternehmensverwaltungstools sind ebenfalls für eine breite Bereitstellung von Microsoft Endpoint Manager verfügbar.

Benutzer, die keine Domäne haben oder die einen Computer kaufen, der noch nicht in einer Domäne konfiguriert ist, können ihr Arbeitskonto unter Windows 10 unter Settings | Accounts | Add Work or School Accountmanuell hinzufügen. Wenn sie sich mit diesem Arbeits- oder Schulkonto anmelden, werden die in Microsoft Endpoint Manager konfigurierten Sicherheits- oder Geräteeinstellungen automatisch übernommen.

Benutzeroberfläche

Die Windows Security App auf dem Client-PC ermöglicht den Zugriff auf die Microsoft Defender Antivirus-Funktionalität. Standardmäßig können die Benutzer den Sicherheitsstatus und die Erkennungsprotokolle einsehen und Scans durchführen. Es gibt eine Auswahl von Quick, Full, Custom und Offline Scans. Nutzer können eine Überprüfung eines Laufwerks, eines Ordners oder einer Datei auch über das Rechtsklickmenü des Windows Explorers starten. Wenn Sie es vorziehen, können Sie die Windows Defender-Oberfläche per Richtlinie ausblenden. In diesem Fall werden auf dem Client-PC keine Oberfläche und keine Warnungen angezeigt (der Administrator sieht die Warnungen weiterhin in der Konsole).

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Microsoft Defender die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf die Warnung öffnete jedoch das Microsoft Defender-Fenster mit weiteren Informationen über die Bedrohung. Diese werden auch im Microsoft Endpoint Manager angezeigt.

Über das Produkt

Sophos Intercept X Advanced bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware bietet das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Es eignet sich für Netzwerke mit Hunderttausenden von Arbeitsplätzen. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

  • Investigative Funktionen
  • Modernes, leicht zu navigierendes Konsolendesign
  • Umfassende Suchfunktion
  • Detaillierte Informationen zu Warnhinweisen
  • Mit dem Early-Access-Programm können Sie neue Funktionen vorab ausprobieren

Management Console

Die Konsole wird über eine einzige Menüspalte auf der linken Seite gesteuert. Einige der Elemente, wie z.B. Threat Analysis Center und Endpoint Protection öffnen sich in einer Art Unterkonsole mit eigenem Menüfeld. Das Layout und die grafische Gestaltung der Konsole bleiben gleich, und Sie können leicht zur Hauptkonsole zurückkehren, indem Sie auf die Schaltfläche "Zurück" oben in der entsprechenden Menüspalte klicken. Einige Seiten, wie z.B. People, können entweder von der Haupt- oder von der Nebenkonsole aus aufgerufen werden. Die Sprache der Benutzeroberfläche kann in Echtzeit über das Benutzermenü in der oberen rechten Ecke geändert werden. Über dasselbe Menü können Sie auch dem Sophos Early-Access-Programm beitreten, so dass Sie kommende Funktionen vor der allgemeinen Veröffentlichung testen können.

Dashboard Seite

Das Sophos Central Dashboard (siehe Screenshot oben) ist die Standard-Landingpage, wenn Sie sich bei der Konsole anmelden. Es zeigt einen Überblick über Bedrohungen und den Geräte-/Benutzerstatus mit farblich gekennzeichneten Grafiken, um die Dinge hervorzuheben. Sie können die Gesamtzahl der Alarme sehen, die auch in nach den Levels hoch, mittel und niedrig unterteilt sind. Die letzten einzelnen Warnungen werden aufgelistet, und Name und Pfad der Bedrohung sowie Gerät und Benutzer werden angezeigt. Die Dashboard-Panels sind mit Detailseiten verknüpft, so dass ein Klick auf das High Alerts-Panel eine Liste dieser Alarme auf der Alerts-Seite anzeigt. Der Bereich Global Security News am unteren Rand ist mit dem Blog Naked Security von Sophos verknüpft und zeigt sicherheitsrelevante Neuigkeiten an.

Alerts Seite

Die Alerts Seite zeigt Ihnen die Anzahl der erkannten Bedrohungen, sowohl als Gesamtzahl als auch nach Schweregradkategorie. Sie können die Warnmeldungen nach Beschreibung, Datum/Uhrzeit, Benutzer oder Gerät sortieren. Wenn Sie auf einen Eintrag klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen und Links, um Maßnahmen zu ergreifen. Mögliche Aktionen (je nach Kontext) sind Mark As Resolved, Clean Up PUA, und Authorize PUA.

Endpoint Protection Section

Die Endpoint Protection Unterkonsole hat Menüeinträge für Dashboard, Logs & Reports, People, Computers, Policies, Settings, and Protect Devices. Die Dashboard Seite ist ähnlich aufgebaut wie ihr Gegenstück in der Hauptkonsole. Sie zeigt viele der gleichen Bereiche, einschließlich der Liste der letzten Bedrohungen, zusammen mit Devices and users: Summary, Web control und Global Security News.

Logs and Reports Seite

Die Logs Abschnitt zeigt die Aktivitäten, die durch die Regeln zur Vermeidung von Datenverlusten ausgelöst werden. Im Abschnitt Reports können Sie eine Reihe von vorkonfigurierten Berichten in folgenden Kategorien ausführen Users, Endpoint Protection und Web Control. Dazu gehören Berichte über Nutzer, die gegen Richtlinien verstoßen haben, indem sie versucht haben, auf gesperrte Anwendungen oder Websites zuzugreifen.

Auf der Seite People können Sie Benutzer und Gruppen verwalten. Dazu gehören Windows-Gerätebenutzer (die automatisch hinzugefügt werden) und auch Konsolenbenutzer. Auf der Detailseite für jeden Benutzer können Sie die Geräte sehen, an denen sich der Benutzer angemeldet hat, und Scans und Updates für diese durchführen.

Auf der Seite Policies können Sie die Konfiguration bearbeiten, die auf die Endpunkte angewendet werden soll. Es gibt separate Richtlinien fürThreat Protection, Peripheral Control, Application Control, Data Loss Prevention, Web Control, Update Management und Windows Firewall. Sie können Richtlinien auf Computer, Benutzer oder Gruppen von beiden anwenden.

Auf der Seite Settings können Sie Optionen konfigurieren, die für das gesamte Netzwerk gelten sollen. Beispiele hierfür sind Directory Service, Role Management (standard and custom permissions for console user), Tamper Protection, Website Management, Proxy Configuration, und Data Loss Prevention Rules. Sie können Installationsprogramme für den Endpunktschutz-Client von der Seite Protect Devices herunterladen.

Unter Computers (Screenshot unten) sehen Sie eine Liste Ihrer Geräte mit Namen, IP-Adresse, Betriebssystemversion, installierten Sophos Produkten, letztem Benutzer, Datum/Uhrzeit der letzten Verwendung und Gruppe. Wenn Sie mit der Maus auf die kleine Schaltfläche rechts neben der IPv4-Adresse fahren, werden IPv6-Adressen angezeigt. Sie können ausgewählte Geräte aus der Konsole mit der Delete Schaltfläche entfernen.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .exe-Format von der Seite Protect Devices herunterladen. Diese können manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können ein Installationsprogramm auch direkt von der Download-Seite aus per E-Mail an Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Einstellung Enable Tamper Protection unter Global Settings verwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen sowie Updates und Standard-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Administratoren können die Einstellungen auch lokal auf dem geschützten Computer ändern.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC angeschlossen und das Laufwerk im Windows Explorer geöffnet haben, hat Sophos zunächst keine (sichtbaren) Maßnahmen ergriffen. Als wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Meldung angezeigt, die nach einigen Sekunden geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Erkennungswarnungen über Richtlinien deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Trellix Endpoint Security (HX) bietet eine cloudbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Es stehen verschiedene Konsolentypen zur Verfügung. Dazu gehören die cloudbasierte, die Hardware-Appliance, die virtuelle Appliance und die von Amazon gehostete Konsole. In diesem Testbericht wird die cloudbasierte Konsole beschrieben. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt ist für sehr große Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance.

Vorteile

  • Investigative Funktionen zu Angriffen
  • Eine Vielzahl von Konsolentypen verfügbar
  • Geeignet für mittelgroße bis große Unternehmen
  • Umfassende Suchfunktion
  • Mit der Containment-Funktion können Sie infizierte Geräte isolieren

Management Konsole

Dashboard

Wenn Sie die Konsole öffnen, sehen Sie einen Überblick über die wichtigsten Statuselemente (siehe Screenshot oben). Dazu gehören die Gesamtzahl der Hosts mit Warnungen und eine Aufschlüsselung nach Exploits und Malware. Ein Klick auf die Total hosts with alerts Schaltfläche öffnet die Hosts with Alerts Seite, siehe unten.

Hosts with alerts

Wie der Name schon sagt, werden auf dieser Seite Details zu geschützten Geräten mit noch nicht bearbeiteten Alerts angezeigt. Wenn Sie auf das Plus-Zeichen für ein Gerät klicken, wird eine Liste der Warnungen für dieses Gerät in chronologischer Reihenfolge angezeigt. Bei Malware-Warnungen wird eine Fülle von Details zu jedem Warnhinweis angezeigt. Dazu gehören der Status (z.B. unter Quarantäne gestellt), der Dateipfad, MD5- und SHA1-Hashes (aber nicht SHA256), die Dateigröße, die Zeiten der letzten Änderung und des letzten Zugriffs, der Prozesspfad, der Benutzername des angemeldeten Benutzers, der Erkennungsname, der Bedrohungstyp sowie die Zeiten der ersten und letzten Warnungen für das Element. Jede Bedrohung kann bestätigt (als "read" markiert) oder als False-Positive markiert werden. Sie können auch Kommentare zu den Bedrohungsdetails hinzufügen, um sie später zu untersuchen.

Alerts

Für eine bedrohungszentrierte und nicht gerätezentrierte Ansicht können Sie die Alerts Seite. Hier können Sie den Namen, den Datei-Hash, den Dateipfad und die ersten/letzten Erkennungen für jede Bedrohung sowie den Hostnamen und die IP-Adresse des jeweiligen Geräts sehen. Die Optionen Acknowledge, Mark False Positive und Add Comment sind auch hier verfügbar.

Acquisitions

Von der Hosts with Alerts Seite können Sie eine Datei oder verschiedene Diagnosedaten von einem einzelnen Gerät abrufen. Auf der Seite Acquisitions können Sie Dateien, die Sie von Hosts erworben haben, herunterladen, um sie zu analysieren.

Enterprise Search

Mit dieser Funktion können Sie das Netzwerk nach einer Vielzahl von Elementen durchsuchen. Dazu gehören Anwendungsname, Browserversion, Hostname, verschiedene ausführbare Dateien, Dateinamen/Hashes/Pfade, IP-Adresse, Port, Prozessname, Registrierungsschlüssel, Dienstname/Status/Typ/Modus, Zeitstempel, URL, Benutzername und Windows-Ereignismeldung.

Admin\Policies

Hier können Sie zahlreiche verschiedene Aspekte der Client-Schutzrichtlinie konfigurieren. Beispiele sind Scans, ob die Endpunkt-Client-Benutzeroberfläche auf den Endpunkten angezeigt werden soll, Protokollierung, Einstellungen für Malware-Scans, Abfragefrequenz, Manipulationsschutz, Scan-Ausschlüsse, Management-Server-Adresse und Einstellungen für die Malware-Erkennung. Scans können so eingestellt werden, dass sie nach einem Zeitplan, nach einer Signaturaktualisierung oder nach dem Hochfahren des Geräts ausgeführt werden.

Admin\Host Sets

Dies sind einfach Gruppen von Computern. Sie können nach einer Vielzahl von Kriterien oder einfach durch Ziehen und Ablegen aus der Liste aller Geräte definiert werden. Diese Gruppen werden verwendet, um verschiedene Schutzrichtlinien anzuwenden.

Admin\Agent-Versionen

Damit können Sie aktuelle und ältere Versionen des Endpunkt-Agenten für Windows- und Mac-Systeme herunterladen. Der Administrator kann so z.B. Kompatibilitätsprobleme mit einer bestimmten Agentenversion auf bestimmten Systemen vermeiden.

Admin\Appliance Settings

Auf dieser Seite können Sie die Einstellungen für die Verwaltungskonsole selbst ändern. Es gibt Steuerelemente für Datum und Uhrzeit, Benutzerkonten, Benachrichtigungen, Netzwerkeinstellungen und Lizenzen und mehr.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .msi-Format können von der Seite Admin Menü , öffnet Agent Versionsheruntergeladen werden. Wie der Name schon sagt, werden die aktuelle und etwa fünf frühere Versionen des Clients bereitgestellt. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Es gibt ein Symbol in der Systemablage, über das der Benutzer ein einfaches Programmfenster öffnen kann. Hier können Sie das Ereignisprotokoll, unter Quarantäne gestellte Objekte und Informationen zur Programmversion einsehen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Trellix die bösartigen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Pop-up-Benachrichtigung angezeigt, aber es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

VIPRE Endpoint Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software, wie Sie es erwarten würden. Neben dem Schutz vor Malware sind auch Funktionen für die Verwaltung von Schwachstellen und Patches enthalten. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für sehr kleine Unternehmen mit nur einigen wenigen Arbeitsplätzen sehr gut geeignet ist.

Vorteile

  • Gut geeignet für Kleinstunternehmen und aufwärts
  • Minimale technische Kenntnisse erforderlich
  • Die Konsole lässt sich sehr einfach über ein einziges Menüfeld steuern
  • Sehr gut erreichbare, vernetzte Schnittstelle
  • Timeline Funktion bietet detaillierte Informationen zur Threat-Historie

Management Console

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Sie bietet einen Überblick über den aktuellen Sicherheitsstatus, wobei verschiedene Bereiche verwendet werden. Die Konsole ist so gestaltet, dass sie sehr gut anklickbar ist. Wenn Sie beispielsweise auf die Anzahl der Outdated Definitions klicken, gelangen Sie auf eine Seite, die Ihnen die betreffenden Geräte anzeigt. Der Hauptbereich Threat Trend zeigt eine Grafik der Bedrohungen, die in der letzten Woche aufgetreten sind. Diese können entweder als Gesamterkennungen (einschließlich des mehrfachen Auftretens einer einzelnen Bedrohung) oder als einzelne Bedrohungen angezeigt werden. In separaten Feldern werden die zehn wichtigsten Erkennungen nach Bedrohung bzw. nach Gerät angezeigt.

Andere Dashboard Panels sind: Quarantine Status, Devices Needing Attention, Detection Quellen, Web/DNS Blocks, Severity Breakdown, Protection Summary, Agent Version Spread, Licensing information und ein Security Blog. Jedes Element kann angeklickt werden und führt zur jeweiligen Detailseite.

Quarantine Seite

Hier sehen Sie eine Liste aller Bedrohungen, die auf einem beliebigen Gerät unter Quarantäne gestellt wurden. Sie zeigt das Datum und die Uhrzeit der Erkennung, den Namen der Bedrohung, die Plattform, die Kategorie der Bedrohung, den Schweregrad, die Quelle (Erkennungsmodul) und die Anzahl der betroffenen Geräte an. Die Liste kann nach Zeit, Name, Schweregrad oder Anzahl der Geräte geordnet werden. Wenn Sie auf den Namen der Bedrohung klicken, wird die Detailseite für diese Bedrohung geöffnet, auf der Sie die unter Quarantäne gestellte Datei löschen oder wiederherstellen können.

Reports Seite

Hier werden Kacheln für eine Vielzahl verschiedener vorkonfigurierter Berichte angezeigt: Threat Detection, Threat Summary, Device Registration, Scan, Web Activity Summary, License Summary und Applications Update. Threat Summary verwendet eine Zeitleiste, Balken- und Kreisdiagramme, um die in der letzten Woche gefundenen Threats zu visualisieren.

Devices Seite

Die Devices Seite ,oben gezeigt, listet Netzwerkcomputer auf und zeigt nützliche Informationen an. Dazu gehören Status, Richtlinie, Betriebssystem und Version. Die Informationsspalten können individuell angepasst werden. Sie können zusätzliche Elemente wie den Benutzer, den letzten Scan, die IP-Adresse oder die letzte Aktualisierung anstelle der Standardspalten hinzufügen. Sie können die Liste der angezeigten Geräte auch nach Hostname, Betriebssystemversion, Status, Typ (Workstation/Laptop/Server) oder Versionsnummer des Endpunktagenten sortieren. Alternativ können Sie über ein Suchfeld Geräte nach ihrem Namen suchen. Auf diese Weise können Sie leicht bestimmte Geräte oder Gerätekategorien finden.

Wenn Sie die gesuchten Computer gefunden haben, können Sie über das Actions Menü Befehle auf ihnen ausführen. Verfügbare Aktionen sind: Assign Windows Policy, Full Scan, Quick Scan, Scan Applications, Update Definitions, Schedule Agent Update, Update Agent Now, Reboot Devices, Stop Agent, Uninstall Agent, und Delete Device. Uninstall Agent entfernt die Endpunkt-Software, behält aber die zugehörigen Daten. Dies kann nützlich sein, wenn Sie die Version des Agenten neu installieren oder ändern möchten. Delete Device entfernt die zugehörigen Daten und deaktiviert die Lizenz.

Jedes einzelne Gerät hat seine eigene Detailseite mit verschiedenen Registerkarten. Diese sind: Summary (Status usw.); Scans (was wurde gescannt, was wurde gefunden, was wurde getan); Quarantine; Threats (Quelle, Schweregrad und ergriffene Maßnahmen); Web Activity (vom Benutzer besuchte Seiten); Timeline (Scans und Erkennungen); Vulnerabilities; Applications.

Die Funktion Timeline ist unten dargestellt. Sie listet wichtige Systemereignisse wie Scans, blockierte Webseiten und Malware-Erkennungen in chronologischer Reihenfolge auf. Für jedes Ereignis gibt es ein Informationsfeld.

Ein Klick auf den Namen eines Threats öffnet die entsprechende Threat Information Seite, siehe unten. Hier werden die Begegnungen mit der Bedrohung in der letzten Woche, die betroffene Schutzkomponente, der Schweregrad der Bedrohung, die ergriffenen Maßnahmen und die von der Bedrohung betroffenen Geräte angezeigt.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Es gibt separate Seiten/Richtlinien für Windows- und macOS-Geräte und separate Standardrichtlinien für jeden der Windows-Computertypen, nämlich Windows-Laptops, Windows-Arbeitsstationen und Windows-Server. Für jede Richtlinie können Sie konfigurieren: Agent (Benutzeroberfläche und Systemintegration); Scanning (was gescannt werden soll, Zeitplan, USB-Geräte); Active Protection (Empfindlichkeit des Echtzeitschutzes); Web/DNS Protection; E-Mail Protection; Threat Handling; Patching; Firewall; IDS (Intrusion Detection System). Auf der Agent Seite besteht die Möglichkeit, bei der Installation des Agenten inkompatible Software, d.h. vorhandene Endpoint-Protection-Software eines anderen Herstellers, zu entfernen. Es gibt eine große Auswahl an verschiedenen Produkten und Versionen. Diese werden aufgelistet, so dass Sie sehen können, ob ein bestimmtes Produkt/eine bestimmte Version automatisch entfernt werden kann.

Exclusions Seite

Hier können Sie Scan-Ausschlüsse konfigurieren. Diese sind mit bestimmten Richtlinien verknüpft.

System Seite

Auf dieser Seite können Sie Benachrichtigungen, Konsolenbenutzer, systemweite Einstellungen und den Site-Namen (Sub-Domain von "myvipre.com") konfigurieren. Wir weisen darauf hin, dass VIPRE über ein separates EU-Rechenzentrum verfügt, um die EU-Datenschutzbestimmungen einzuhalten.
Mit Notifications können Sie u.a. Warnungen für erkannte Bedrohungen einrichten. Sie können die Quelle (Echtzeitschutz, Scan oder E-Mail) und den Mindestschweregrad der Bedrohung angeben, der für die Auslösung der Benachrichtigung erforderlich ist. Anschließend fügen Sie E-Mail-Adressen hinzu, die benachrichtigt werden sollen, und Sie können sogar das Format des E-Mail-Betreffs anpassen. Die E-Mail enthält dann Links, die direkt zu den entsprechenden Seiten der Verwaltungskonsole führen.

Deploy Agents Seite

Auf dieser Seite können Sie Installationsprogramme für den Endpoint Protection Agent verwalten, herunterladen und per E-Mail versenden. Über die Konsole können Sie entscheiden, ob Sie alle Clients automatisch mit dem neuesten Build der Software aktualisieren oder die Software zunächst auf bestimmten Geräten testen möchten. Sie können ein benutzerdefiniertes Installationsprogramm erstellen, das mit einer bestimmten Richtlinie verknüpft ist.

Profile Seite

Hier können Sie die Kontaktinformationen des aktuellen Konsolenbenutzers eingeben und die 2-Faktor-Authentifizierung aktivieren.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .msi-Format für Windows können von der Seite Deploy Agents heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem ein Dienstprogramm auf einem Relais-Computer im LAN installiert wird. Sie können ein Installationsprogramm auch direkt von der Seite Deploy Agents per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Deinstallationsschutz aktivieren in der entsprechenden Richtlinie verwenden. In der Konsole können Sie sehen, wer die Software auf einem bestimmten Gerät installiert hat.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Durch Ändern der Richtlinie können Sie die Benutzeroberfläche vollständig ausblenden oder bestimmten Benutzern mehr Kontrolle geben, z.B. bei der Verwaltung von Scan-Zeitplänen oder der Quarantäne.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte VIPRE die bösartigen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf Show Details öffnete jedoch ein Fenster mit weiteren Informationen über die Bedrohung. Sie können die Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Carbon Black Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware umfasst das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Hunderttausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

  • Investigative Funktionen zu Angriffen
  • Funktion zur Fernsanierung
  • Integration mit VMware vSphere
  • Einfache, übersichtliche Benutzeroberfläche
  • Die Konsolenseiten können an Ihre Anforderungen angepasst werden

Management Konsole

Alle wichtigen Funktionen der Konsole befinden sich in einer einzigen Menüspalte auf der linken Seite der Seite. Das macht die Navigation sehr einfach.

Dashboard Seite

Die Dashboard Seite (Screenshot oben) zeigt Ihnen einen Überblick über sicherheitsrelevante Elemente, die in Panels angezeigt werden. Diese sind Alerts, Endpoint Status, Prevented Malware, Top Alerted Assets, Top Alerted Applications und Threat Reports (Sicherheitsblog). Die Getting Started Panel zeigt Links für allgemeine Aufgaben an, z. B. die Bereitstellung der Endpunktsoftware und das Hinzufügen von Konsolenadministratoren. Sie können das Dashboard anpassen, indem Sie Bereiche verschieben und nicht benötigte Bereiche entfernen.

Alerts Seite

Die Alerts Seite zeigt Ihnen eine Liste der auf allen Geräten aufgetretenen Bedrohungen in chronologischer Reihenfolge. Sie können die Liste nach einer Vielzahl von Kriterien filtern, indem Sie das Panel auf der linken Seite der Seite verwenden. Sie können nach Gerät, Prozess, Workflow, effektiver Reputation, Sensoraktion und mehr filtern. Das Hauptfenster zeigt Datum und Uhrzeit des Alarms, Grund (z. B. Malware-Erkennung), Schweregrad sowie Gerät und Benutzer an. Über die Schaltflächen am rechten Ende eines jeden Eintrags können Sie die entsprechende Seite öffnen Alert Triage oder Investigate Seiten öffnen, oder ergreifen Sie Maßnahmen. Zu den verfügbaren Aktionen gehören das Ablehnen des Warnhinweises, das Löschen oder die Aufnahme in die Whitelist (Enable bypass) der Datei, die die Warnung verursacht hat, oder das Öffnen der entsprechenden VirusTotal-Seite für die Datei.

Investigate Seite

Auf dem Investigate können Sie eine chronologische Liste der Ereignisse für jedes einzelne Gerät sehen. Wie bei der Alerts Seite gibt es eine Vielzahl von Filterkriterien, die in einem Feld auf der linken Seite angezeigt werden. Durch Anklicken des Feldes Actions (Pfeilspitze) können Sie weitere Informationen über den Prozess, den übergeordneten Prozess, den untergeordneten Prozess und das Gerät anzeigen (siehe Screenshot oben). So können Sie Netzwerkverbindungen und Programmausführungen überwachen und sich ein detailliertes Bild von sicherheitsrelevanten Ereignissen machen. Über Dropdown-Menüs in der Detailansicht können Sie Aktionen wie das Hinzufügen der Datei zu Listen zugelassener oder gesperrter Dateien, die Überprüfung mit VirusTotal, das Löschen oder die Quarantäne durchführen.

Enforce\Policies Seite

Hier können Sie die Einstellungen konfigurieren, die auf Ihre Geräte angewendet werden sollen. Es gibt Einstellungen für die Malware-Erkennung, On-Demand-Scans, die Häufigkeit von Updates und die zu verwendenden Server sowie die Schnittstelle des Endpunktschutz-Clients. Eine einzige Richtlinie kann für alle Plattformen verwendet werden, d. h. für Windows, macOS und Linux. Die Windows-, Apple- und Pinguin-Symbole zeigen an, auf welche Plattformen eine Konfigurationsoption angewendet werden kann. Administratoren können Richtlinien erstellen, die auf tragbare Geräte angewendet werden, wenn diese sich außerhalb des Firmen-LANs befinden.

Enforce\Malware-Entfernung Seite

Hier sehen Sie eine Liste der unter Quarantäne gestellten schädlichen Objekte, die Sie z.B. untersuchen, in VirusTotal suchen, löschen oder auf die Whitelist setzen können. Malware kann von einem einzelnen Gerät oder von mehreren Geräten gelöscht werden.

Enforce\Cloud-Analyse Seite

Diese Seite zeigt Ihnen die Ergebnisse der Analyse verdächtiger Dateien an.

Inventarisierungsendpunkte Seite

Die Endpoints Die oben gezeigte Seite bietet einen Überblick über die Geräte im Netzwerk. Über ein Suchfeld können Sie nach einem bestimmten Client in einem größeren Netzwerk suchen. Für jedes Gerät sind die Details sehr überschaubar gehalten (Status, Gerätename, Benutzer, Details zum Betriebssystem und zur Sensorversion, Richtlinien und letzte Check-in-Zeit). Sie können jedoch leicht mehr Informationen über ein einzelnes Gerät erhalten, indem Sie auf das Pfeilsymbol am rechten Ende des Eintrags klicken. Auf diese Weise werden Elemente wie die Version der Scan-Engine, interne und externe IP-Adressen sowie die Person, die die Endpunktschutzsoftware installiert hat, angezeigt. Wenn Sie auf den Namen eines Geräts klicken, öffnet sich die Investigate Seite für dieses einzelne Gerät. Über die Go Live Schaltfläche am Ende jedes Geräteeintrags wird eine Fernverwaltungssitzung mit dem Gerät aufgebaut. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Aktionen wie Scans, Richtlinienzuweisungen und Sensoraktualisierungen durchführen. Sie können ein Gerät auch unter Quarantäne stellen. Dadurch werden alle Netzwerkverbindungen zum und vom Gerät unterbrochen, mit Ausnahme der Verbindungen zur und von der Verwaltungskonsole.

Settings Menu

Die Settings Menüpunkt lässt Sie Optionen für die Konsole/das System als Ganzes konfigurieren. Unter Users können Sie Konsolenbenutzer verwalten. Es gibt 5 Ebenen von Berechtigungen, die einem Benutzer zugewiesen werden können, von Stufe 1 Analyst bis zu System Admin. In diesem Zusammenhang gibt es auch die Roles Seite, auf der Sie bearbeiten können, was die einzelnen Berechtigungsstufen tatsächlich tun können. Unter Notifications können Sie den Schweregrad der Bedrohung festlegen, bei dem eine Warnung gesendet werden soll, sowie eine E-Mail-Adresse, an die sie gesendet werden soll. Audit Log Aufzeichnungen, z.B. Konsolenbenutzeranmeldungen und Richtlinienänderungen/-zuweisungen.

Windows Endpoint Protection-Client

Deployment

Sie können die Installationsdateien im .msi-Format von dem Sensor Options Menü auf der Inventory\Endpoints Seite herunterladen. Sie haben die Wahl zwischen 32- und 64-Bit-Paketen. Sie müssen einen Installationscode eingeben, den Sie im selben Menü finden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Die Verwendung des Send installation request lässt Sie den Benutzern einen Installationslink und einen Code per E-Mail zusenden. Der Installationsassistent ist einfach und stellt auch für technisch nicht versierte Benutzer keine Probleme dar. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Require code to uninstall sensor Option in der entsprechenden Richtlinie verwenden. Carbon Black Cloud ist für die Bereitstellung und Aktualisierung in VMware vSphere integriert.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Taskleiste und einem kleinen Informationsfenster. Die Nutzer können eine Liste der zuletzt blockierten Bedrohungen sehen. Letztere enthält den Erkennungsnamen und den Dateipfad sowie das Datum und die Uhrzeit der Erkennung. Weitere Funktionen sind nicht vorhanden. Die Benutzeroberfläche kann per Richtlinie vollständig ausgeblendet werden, wenn Sie dies wünschen. Die Integration mit dem Windows Security Center kann über die Konsole aktiviert oder deaktiviert werden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Carbon Black die bösartigen Dateien sofort und stellte sie an Ort und Stelle unter Quarantäne. Es wurde eine Pop-up-Warnung angezeigt, die sich nach einigen Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich, obwohl ein Klick auf Details das Fenster mit der Erkennungsliste des Programms öffnete.

Über das Produkt

WatchGuard Endpoint Protection Platform (EPP) bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten. Unseres Erachtens ist es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet.

Vorteile

  • Leicht zu navigierende Konsole
  • Die anklickbare Oberfläche ermöglicht einen einfachen Zugriff auf Detailseiten
  • Netzwerkerkennungsprozess stellt sicher, dass alle Geräte geschützt sind
  • Detaillierte Hardware- und Softwareinformationen und Berichte für einzelne Geräte
  • Konfigurierbare Menüleiste

Management Console

Status Tab

Eine Statusübersicht finden Sie auf der Seite Status tab/Security. Seite (Screenshot oben), die sich standardmäßig öffnet. Es gibt Torten- und Balkendiagramme für die angezeigten Elemente, die Folgendes umfassen Protection Status, Offline Computers, Outdated Protection, und Programs Allowed by the Administrator. Sie können sich durchklicken, um genauere Informationen zu erhalten. Klicken Sie zum Beispiel im Hauptmenü auf die Protection Status Grafik führt Sie dies zur Computer protection status Seite. Die Erkennungsfunktionen "log/quarantine" der Konsole werden durch Klicken auf Threats detected by the antivirusgeöffnet. Hier sehen Sie die betroffenen Computer und ihre IP-Adressen und Gruppen, den Bedrohungstyp und -pfad, die ergriffene Maßnahme (z.B. blocked/quarantined/deleted) sowie Datum und Uhrzeit.

Die Status Tab enthält eine linke Menüspalte, über die Sie weitere Statusseiten öffnen können. Web access zeigt die Kategorien von Websites, wie Webmail, Spiele und Business, auf die die Nutzer zugegriffen haben. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzes. Es gibt Links für Hardware und Software der verwalteten Computer, plus Unprotected Workstations und Unprotected Servers. Scheduled reports lässt Sie die zu versendenden Informationen und den Versandzeitpunkt individuell festlegen.

Die My Lists ist konfigurierbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören Unmanaged computers discovered, Computers with duplicate name, Intrusion attempts blocked, und Threats detected by the antivirus. So können Sie schnell feststellen, ob es Sicherheitsprobleme gibt, die behoben werden müssen.

Computers Tab

Die Computers (siehe unten) werden alle geschützten Computer und mobilen Geräte im Netzwerk aufgelistet. Sie können nach verschiedenen Kriterien sortieren, darunter Hostname, IP-Adresse, Betriebssystem, Verwaltungsgruppe und Datum/Uhrzeit der letzten Verbindung. Es ist möglich, die angezeigten Spalten anzupassen, so dass Sie z.B. die Domänenmitgliedschaft und den zuletzt angemeldeten Benutzer hinzufügen können. In einer Windows-Explorer-ähnlichen Ordnerstruktur Tab, auf der linken Seite, lässt Sie Geräte nach Betriebssystem (einschließlich Windows für ARM-Prozessoren), Gerätetyp oder Hardware-/Softwarekriterien filtern. Über die Schaltfläche mit den drei Punkten am Ende eines jeden Eintrags können Sie Aufgaben für das angegebene Gerät ausführen, z.B. Scans durchführen, Software neu installieren, den Computer neu starten, ihn in eine andere Gruppe verschieben oder ihn löschen.

Wenn Sie auf das Ordnersymbol oben im linken Fenster und auf das Symbol mit den drei Punkten rechts neben "All" klicken, können Sie Computergruppen erstellen und verwalten, die mit Active Directory synchronisiert werden können.

Wenn Sie auf den Namen eines Computers klicken, wird die unten abgebildete Detailseite für dieses Gerät geöffnet. Hier finden Sie Netzwerk- und Domäneninformationen, Details zum Betriebssystem, Versionen des WatchGuard-Agenten und des Endpoint-Clients und vieles mehr. Der Status der einzelnen Schutzkomponenten wird ebenfalls angezeigt. Der Hardware Tab enthält Details zur CPU, zum RAM, zur Systemfestplatte und zum BIOS, zusammen mit den entsprechenden Nutzungsstatistiken. Ein Klick auf Software ermöglicht es Ihnen, Informationen über installierte Programme zu sehen, während Settings die Richtlinien- und Netzwerkkonfigurationen anzeigt. Über eine Menüleiste am oberen Rand der Seite können Sie das Gerät verschieben oder löschen, einmalige oder geplante Scans durchführen, den Verwaltungsagenten oder die Schutzsoftware neu installieren und den Computer neu starten.

Settings Tab

Die Settings/Security Seiten lässt Sie separate Sicherheitsrichtlinien für Computer einerseits und mobile Android-Geräte andererseits definieren. Unter My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Erkennungen von Malware und Phishing, nicht lizenzierte/unverwaltete/ungeschützte Computer und Installationsfehler. Unter Network settings können Sie die Proxy- und Cache-Server von WatchGuard verwalten, die beide Updates für andere Computer im LAN bereitstellen. Ersterer ist für den Einsatz in isolierten LANs gedacht, letzterer z.B. für Zweigstellen mit Internetverbindungen mit geringer Bandbreite. Unter Proxy finden Sie auch Enable real-time communication. Diese ermöglicht eine nahezu sofortige Kommunikation zwischen den Clients und der Verwaltungskonsole. In der Beschreibung der Konsole wird darauf hingewiesen, dass sie ein hohes Volumen an Netzwerkverkehr erzeugen kann.

Tasks Tab

Auf der Registerkarte Tasks können Sie geplante Überprüfungen einrichten.

Settings Menu

Das Einstellungsmenü wird über das Zahnradsymbol in der oberen rechten Ecke der Konsole aufgerufen. Es enthält Hilfe- und Support-Links, Lizenz- und Produktinformationen sowie die Möglichkeit, die Sprache der Konsole in Echtzeit zu ändern.

Windows Endpoint Protection-Client

Deployment

Die Verteilungsoptionen finden Sie unter Add Computers auf der Computers Seite. Sie können ein Installationsprogramm im .msi-Format erstellen, das vorkonfiguriert sein kann. Sie können eine WatchGuard- oder Active Directory-Computergruppe angeben und Einstellungen auswählen. Das Installationsprogramm kann dann direkt von der Konsole heruntergeladen oder per E-Mail an die Benutzer gesendet werden. Die manuelle Installation ist äußerst schnell und einfach und stellt auch für nicht erfahrene Benutzer kein Problem dar. Sie können die Software mit einem Passwort schützen (unter Settings/Per-computer settings), was bedeutet, dass selbst Benutzer mit Windows-Administratorkonto es nicht deinstallieren können.

Sie können die Software auch über ein Systemverwaltungsprodukt oder ein Active Directory-Skript bereitstellen. Die Option Discovery and Remote Installation ermöglicht es Ihnen zusätzlich, die Software per Remote-Push zu installieren. Der Erkennungsprozess findet alle Computer im Netzwerk, so dass Sie sicher sein können, dass kein Computer ungeschützt ist.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie die Benutzeroberfläche in den Richtlinieneinstellungen vollständig ausblenden. Warnhinweise werden jedoch weiterhin angezeigt.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff WatchGuard zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie erkannt und gelöscht. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

In diesem Business Security Test und Review erreichte Award-Levels

Wie in den vergangenen Jahren vergeben wir unseren "Approved Business Product" Award an qualifizierte Produkte. Da wir zwei Tests für Business-Produkte pro Jahr durchführen, werden qualifizierte Produkte im Juli (für die Tests im Zeitraum März-Juni) und im Dezember (für die Tests im Zeitraum August-November) separat ausgezeichnet.

Um im Dezember 2022 von AV-Comparatives als "Approved Business Product" zertifiziert zu werden, müssen die getesteten Produkte im Malware Protection Test mindestens 90% erreichen, mit null Fehlalarmen bei gängiger Unternehmenssoftware und einer FP-Rate bei nicht-unternehmensrelevanten Dateien unter der Auffallend hoch Schwelle. Darüber hinaus müssen die Produkte im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) mindestens 90% erreichen, mit weniger als hundert Fehlalarmen bei jeder sauberen Software/Website und null Fehlalarmen bei gängiger Unternehmenssoftware. Die getesteten Produkte müssen außerdem keine größeren Performanceprobleme aufweisen (der Impact Score muss unter 40 liegen) und es müssen alle gemeldeten Fehler behoben sein, um die Zertifizierung zu erhalten.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und daher mit dem AV-Comparatives Approved Business Security Product Award für Dezember 2022 ausgezeichnet wurden:

APPROVED
AcronisAPPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoNOT APPROVED
CrowdStrikeAPPROVED
CybereasonAPPROVED
ElasticAPPROVED
ESETAPPROVED
G DataAPPROVED
K7APPROVED
KasperskyAPPROVED
MalwarebytesAPPROVED
MicrosoftAPPROVED
SophosAPPROVED
TrellixAPPROVED
VIPREAPPROVED
VMwareAPPROVED
WatchGuardAPPROVED

Obwohl Cisco gute Ergebnisse beim Malware-Schutz erzielte, erreichte es leider nicht alle Anforderungen für die im Dezember 2022 verliehene Auszeichnung. Dies lag an der hohen Anzahl von Fehlalarmen bei nicht geschäftsrelevanten Dateien. Wir hoffen, dass diese Probleme bei den Tests im Jahr 2023 behoben werden.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2022 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstandes von AV-Comparatives vor jeglicher Veröffentlichung erlaubt. Dieser Bericht wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Bericht enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2022)