Sie können Endpoint Data Recorder-Daten von Endgeräten abrufen (oder "dumpen"), um Ihre eigene nachträgliche Analyse auf Grundlage der Informationen durchführen zu können. Sie können nur einen Dump auf Endgeräten durchführen, die bei ATP angemeldet sind. Außerdem muss der Endpoint Data Recorder auf dem Endgerät aktiviert sein. Die Größe, die Sie bei der Einrichtung des Endpoint Data Recorder konfigurieren, beschränkt die Menge der Daten, die der Endpoint Data Recorder speichern kann.

Siehe Info zum Integrieren von ATP in Symantec Endpoint Protection.

Siehe Aktivieren und Deaktivieren von EDR 2.0.

Sie können folgende Arten von Speicherauszügen ausführen:

Full Dump (vollständiger Dump)

Die Daten umfassen alle aufgezeichneten Ereignisse, die auf dem Endgerät aufgetreten sind.

Sie können vollständige Dumps von den folgenden ATP Manager-Seiten aus durchführen:

ATP bietet ein Befehlszeilen-Tool, das einen Snapshot des gesamten Index des vollständigen Speicherauszugs exportiert.

Process Dump (Prozesssicherung)

Die Daten umfassen alle aufgezeichneten Ereignisse, die auf dem Endgerät aufgetreten sind und zu den Prozessen gehören, die durch das angeforderte Dateihash bestimmt werden. Wenn Sie eine Prozesssicherung initiieren, wählen Sie die Endgeräte, von denen Sie Endpoint Data Recorder-Informationen abrufen möchten, die sich auf das Datei Hash beziehen.

Sie können Prozess-Dumps von den folgenden ATP Manager-Seiten aus durchführen:

Nachdem Sie einen Speicherauszug initiieren, können Sie den Status auf der Registerkarte "Search > Endpoints" (Suche > Endgeräte) anzeigen. Klicken Sie dann auf den Dump im Feld "Search Description" (Suchbeschreibung), um die zugehörige Details-Seite aufzurufen. Auf der Details-Seite können Sie Ereignisse in der Ansicht "Events Summary" filtern und sortieren. Außerdem können Sie die Ergebnisse zur weiteren Verarbeitung in eine Microsoft Excel-Datei exportieren.

Siehe Detailseite "Full Dump Results" (Ergebnisse des vollständigen Speicherauszugs).

Siehe Detailseite "Process Dump Results" (Ergebnisse der Prozesssicherung).

Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).

Wenn Sie einen Dump durchführen, beziehen Sie alle Informationen, die in den Endpoint Recorder-Daten vorhanden sind. ATP unterstützt keine Dumps von Daten für bestimmte Zeiträume. ATP unterstützt die gleichzeitige Durchführung zweier Dumps. Weitere Dumps werden einer Warteschlange hinzugefügt, bis vorherige Dumps abgeschlossen sind. Sie können einen Dump abbrechen, sobald er ausgeführt wird.

Siehe Abbrechen eines Endpoint Data Recorder-Dumps.

Hinweis:

ATP bricht alle inaktiven Dump-Befehle ab, die innerhalb von 3 Tagen nach Ausführung keine neuen Ergebnisse zurückgeben.
Legacy ID: v123624079_v127312507

Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)

    © 1995-2019 Symantec Corporation