Die Funktionen, die Symantec EDR-Ereignisse erkennen
HOWTO129150
Last Updated February 06, 2019
readonly
Tabelle: Symantec EDR-Ereigniserkennungsfunktionen beschreibt die Technologien, die Symantec Endpoint Detection and Response verwendet, um Ereignisse zu erkennen.
Tabelle: Symantec EDR-Ereigniserkennungsfunktionen
| Ereignistyp |
Beschreibung |
|---|---|
| Erkennung komplexerer Angriffstechniken |
Ereignisdaten aus der Erkennung komplexerer Angriffstechniken bieten einen Überblick über mögliche komplexere Angriffe, die das Netzwerk bedrohen können. Die Erkennung komplexerer Angriffstechniken nutzt die Verhaltensrichtliniendurchsetzung von SONAR, um komplexere Angriffstechniken zu erkennen. Der Schwerpunkt liegt dabei auf Verhaltensweisen wie Prozessaktivitäten, Windows-APIs, Dateisystemänderungen, Registrierungsänderungen und Netzwerkaktivitäten. Daten aus der Erkennung komplexerer Angriffstechniken werden mit detaillierteren Informationen zum erkannten Angriff angereichert. Außerdem enthalten sie detailliertere Beschreibungen, mit deren Hilfe Sie den Umfang des Ereignisses besser verstehen können. Außerdem ergänzt Symantec EDR die Ereignisse aus der Erkennung komplexerer Angriffstechniken um MITRE-Taktiken, -Techniken und -Verfahren. |
| Targeted Attack Analytics (Analyse gezielter Angriffe) |
Wenn Sie Symantec Endpoint Detection and Response: Endpoint ausführen, können Sie die Vorfallserkennungen mit Targeted Attack Analytics verbessern. Wenn diese Funktion aktiviert ist, ruft Symantec EDR stündlich Daten aus dem Cloud-basierten Dienst "Targeted Attack Analytics" ab. Symantec EDR verwendet dann diese Informationen, um neue Vorfälle zu erzeugen oder vorhandene Symantec EDR-Vorfälle zu erweitern. |
| Dieser Sandboxing-Dienst führt Dateien in einer virtuellen Umgebung aus und beobachtet ihr Verhalten. Symantec EDR unterstützt den Einsatz von Symantecs Cloud-basiertem Sandboxing Dienst oder seiner Appliances zum lokalen Sandboxing. Siehe Konfigurieren von Symantec EDR zum Einsatz von Cloud-Sandboxing oder lokalem Sandboxing. |
|
| SEP hat auf dem Dateireputationsserver Informationen zu einer Datei auf einem verwalteten Endgerät angefordert oder Insight hat bösartige Aktivitäten im Netzwerk erkannt. SEP-Clients können viele Insight-Ereignisse generieren, weil Insight-Abfragen bei allen Dateitypen - gute, schlechte und unbekannte - gemacht werden können. Die Fähigkeit, Insight-Erkennungen nach Typ (z. B. nur falsche Dateien) zu filtern, wird derzeit nicht unterstützt. |
|
| Mobile Insight erkennt Probleme mit einer ausführbaren Android-Datei. |
|
| Eine Datei wurde erkannt, die sich in einer von Symantec zur Verfügung gestellten Blackliste oder in der Blackliste von Symantec EDR befindet. |
|
| Vantage erkannte bösartige Aktivitäten auf einem Endgerät oder Bedrohungen mit Vantage-Signaturen wurden im Netzwerkstrom erkannt. |
|
| Die Antivirus-Engine erkannte eine infizierte Datei auf einem Endgerät und SEPM sendete Daten zur Erkennung an Symantec zur Analyse. |
|
| Symantec Online Network for Advanced Response (SONAR) |
Symantec Endpoint Protection beinhaltet Symantec Online Network for Advanced Response (SONAR) zur Erkennung und Behebung von Prozessverhalten. SEP bietet diesbezüglich jedoch keinen Einblick in Details. Wenn Sie Symantec EDR in SEP integrieren, kann Symantec EDR Informationen zu SONAR-Erkennungen liefern, z. B. Systemänderungen auf verwalteten Endgeräten, die Reihenfolge, in der sie aufgetreten sind, und die verknüpften Dateiattribute. Dank dieser Informationen erhalten Sie eine bessere Einsicht in die Aktivitäten in Ihrer Umgebung. SONAR verwendet ein heuristisches System, das das Online-Netzwerk von Symantec mit proaktiver lokaler Überwachung auf SEP-Endgeräten zur Erkennung neuer Bedrohungen nutzt. SONAR erkennt auch Änderungen oder Verhalten auf den Endgeräten, die bzw. das Sie überwachen sollten. Die Erkennungen durch SONAR beziehen sich nicht auf Anwendungstypen, sondern darauf, wie sich ein Prozess verhält. |
| Klassifizierung verdächtiger Dateien |
Symantec EDR nutzt eine Klassifizierung verdächtiger Dateien, um Dateien mit unbekannten Zuständen zu analysieren. Die Dateiklassifizierung unterteilt Dateien in ihre Attribute, um zu ermitteln, ob sie gut- oder bösartig ist, basierend auf Entscheidungsstrukturen, die mit Millionen Dateien ausgebildet werden. Diese Technologie nutzt Machine Learning statt Signaturen oder Dateiausführungen in einer Sandbox-Umgebung. |
Legacy ID:
v115336173_v128921691
Wenn Sie einen Artikel abonnieren, erhalten Sie eine E-Mail, wenn dieser aktualisiert wird. Zum Login erforderlich.
Dieser Artikel wurde abonniert.
Unable to subscribe
Vielen Dank für Ihr zusätzliches Feedback.
Enterprise Support Virtual Agent
Rate Me :
Tell us more:
Welcome! My name is Sami, the Enterprise Support Virtual Agent answering technical support questions.
Start Over
This will clear the history and restart the chat.
Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)