G DATA 365 | Managed EDR

Die Sicherheitseinstellungen des Agents ändern

Sie haben im G DATA 365 | Managed EDR die Möglichkeit die Standardeinstellungen bezüglich der Sicherheit einzelner Endpunkte zu verändern. Diesbezüglich haben Sie 3 Möglichkeiten den Agent zu konfigurieren:

Schadcode stoppen ausschalten

Hintergrundinformationen

Wenn das Managed EDR eindeutig feststellt, dass Schadcode auf dem IT-System ausgeführt wird, stoppt es diesen Vorgang umgehend automatisch und verschiebt den Schadcode in die Quarantäne.

Schadcode stoppen ausschalten

Es ist möglich dieses Verhalten für einzelne Endpunkte auszuschalten. Klicken Sie dafür unter 365 Managed EDR > Endpunkte auf den gewünschten Endpunkt und deaktivieren Sie unter Details den Toggle Button Schadcode stoppen. Dann greift das Managed EDR nicht automatisch in den Vorgang ein, sondern registriert und dokumentiert ihn. Die Security Analysten werden den Vorfall anschließend untersuchen und falls erforderlich eine geeignete Handlungsempfehlung formulieren.

Schalten Sie den Toggle Button nicht leichtfertig aus und evaluieren Sie, ob es keine andere Möglichkeit gibt, Ihr Problem zu lösen.

Endpunkt ist nicht optimal geschützt

Wenn Sie den Toggle-Button Schadcode stoppen deaktivieren, ist der optimale Schutz dieses Endpunktes nicht mehr gewährleistet. Es besteht ein höheres Risiko, dass Angreifer sich Zugriff auf den Computer verschaffen und Daten abgreifen.

Toggle nicht editierbar?

Wenn der Toggle Button Schadcode stoppen ausgegraut und für Sie nicht editierbar ist, hat Ihr Benutzer nicht die Berechtigung diese Einstellung für den Endpunkt vorzunehmen. Mehr zu diesem Thema erfahren Sie in Kapitel → Rollen anlegen.

Response durch Analysten ausschalten

Hintergrundinformationen

G DATA 365 | Managed EDR ist keine gängige Endpoint Protection, bei der Gefahren ausschließlich durch die Software beseitigt werden, sondern um eine Dienstleistung, bei der im Zweifelsfall professionelle Security Analysten eingreifen. Diese untersuchen Gefahren auf Endpunkten selbstständig und entfernen sie, falls erforderlich. Das stellt sicher, dass gezielte Angriffe auf Unternehmen ebenso gezielt abgewehrt werden.

Für diese Dienstleistung benötigen die Analysten vollen Zugriff auf die Rechner der Endpunkte. Falls für den Rechner Auffälligkeiten gemeldet werden, schaltet sich der Analyst eigenständig manuell auf, untersucht die Gefahr und beseitigt sie, falls erforderlich. Typischerweise führt der Security Analyst auf dem Endpunkt Aktionen wie die folgenden durch:

  • Dateien überprüfen, in Quarantäne verschieben

  • Dateien aus der Quarantäne holen

  • Nicht automatisch gelöschte Registry Einträge endgültig löschen

  • False Positives identifizieren und deklarieren

  • Mit PowerShell Befehle ausführen und rückgängig machen

  • Firewall aktivieren und deaktivieren

  • Task Manager einsetzen

  • In kritischen Situationen: Rechner vom Netzwerk isolieren

Response ausschalten

Falls Sie diesen manuellen Zugriff für einzelne Endpunkte nicht wünschen, haben Sie die Möglichkeit Endpunkte dagegen zu sperren. Klicken Sie dafür unter 365 Managed EDR > Endpunkte auf den gewünschten Endpunkt und deaktivieren Sie unter Details den Toggle Button Response durch Analysten. Dann haben die G DATA Security Analysten keinen Zugriff mehr auf das Gerät des Endpunkts.

Endpunkt ist nicht optimal geschützt

Wenn Sie den Toggle-Button Response durch Analysten deaktivieren, ist der optimale Schutz dieses Endpunktes nicht mehr gewährleistet. Es besteht ein höheres Risiko, dass Angreifer sich Zugriff auf den Computer verschaffen und Daten abgreifen.

Toggle nicht editierbar?

Wenn der Toggle Button Response durch Analysten ausgegraut und für Sie nicht editierbar ist, hat Ihr Benutzer nicht die Berechtigung diese Einstellung für den Endpunkt vorzunehmen. Mehr zu diesem Thema erfahren Sie in Kapitel → Rollen anlegen.

Einzelne Dateien von der Detection ausschließen - Ausnahmen

Sie haben die Möglichkeit nicht den ganzen Endpunkt, sondern gezielt einzelne Dateien eines oder mehrerer Endpunkte von der Detection auszuschließen. Dann werden diese Dateien nicht mehr automatisch untersucht und nicht mehr automatisch in die Quarantäne verschoben. Dies kann beispielsweise dann nützlich sein, wenn eine Datei einen Alert auslöst, obwohl von der Datei keine Gefahr ausgeht (sogenannte "False-Positives"). Diese Ausnahmen können Sie nicht selbst vornehmen, sondern kann nur von den Security Operations oder einem Security Analysten von G DATA vorgenommen werden.

Von einem manuellen Zugriff durch einen Security Analysten sind diese Dateien nicht ausgeschlossen. Wenn ein Security Analyst potentielle Gefahren erkennt und der Pfad auf die ausgenommene Datei verweist, kann und wird der Analyst einen Response für diese Datei vornehmen.