Advanced Persistent Threats

Mit der Überwachung von Advanced Persistent Threats (APT) können Sie Bedrohungen frühzeitig erkennen und darauf reagieren. Im Gegensatz zu herkömmlicher Antivirensoftware (AV), die Gefahren erkennt und dabei priorisiert, dass das System nicht zu sehr belastet wird, durchsucht APT gezielt alle Dateien nach auffälligen Mustern (Patterns), die fragwürdig erscheinen. Dadurch identifiziert APT auch potenzielle Gefahren, die durch klassische AV-Lösungen oft unentdeckt bleiben.

Sie erhalten eine detaillierte Analyse aktueller Bedrohungen und können regelmäßig Scans durchführen, um Schwachstellen zu identifizieren. Sicherheitspläne ermöglichen eine strukturierte Reaktion auf Angriffe, während die Anpassung von Regelwerken dafür sorgt, dass Ihr System kontinuierlich vor neuen Bedrohungen geschützt bleibt. Durch die Verwaltung von Whitelists können Sie vertrauenswürdige Quellen von potenziellen Risiken unterscheiden, was Ihre Sicherheitsmaßnahmen effizienter und gezielter macht.

Die Advanced Persistent Threats Komponente basiert aktuell auf ca. 7000 vorgefilterten Regeln von führenden Herstellern, welche täglich live aktualisiert und erweitert werden.

Dashboard

Das Dashboard bietet Ihnen eine Übersicht über die wichtigsten Erkenntnisse rund um Ihre Advanced Persistent Threats. Erfassen Sie auf nur einen Blick alle Informationen rund um Bedrohungen, Scans sowie Erkennungen und machen Sie schnell Handlungsbedarf ausfindig.

Aktive Bedrohungen

In dieser Ansicht finden Sie die Ergebnisse der Malware-Erkennung. Anhand der bereitgestellten Informationen zu Schweregrad, betroffenen Pfaden und Hosts können Sie schnell priorisieren und gezielt Maßnahmen ergreifen. Durch Klick auf einen Eintrag gelangen Sie in die Erkennungsanalyse. Hier finden Sie alle relevanten Daten rund um die Detektion, sehen welche Regel die Bedrohung aufgedeckt hat und können Prüfen, ob sich hinter auffälligen Dateien eine Bedrohung verbirgt.

Weiterhin haben Sie die Möglichkeit direkt aus der Übersicht heraus Whitelists zu erstellen. Klicken Sie hierfür auf den entsprechenden Button hinter einem Eintrag und füllen Sie das Popup Fenster mit den entsprechenden Angaben.

1. Vergeben Sie einen Namen und eine kurze Beschreibung.

2. Legen Sie nun zugeordnete Hosts aus der Dropdown Liste fest.

3. Abschließend können Sie der Whitelist weitere Dateipfade hinzufügen.

4. Speichern Sie Ihre Konfiguration mit der Schaltfläche Whitelist hinzufügen.

Sobald ein Threat nicht mehr gefunden wird, taucht er nicht weiter in der Ansicht auf. Dies kann einerseits durch das löschen oder aber whitelisten einer entsprechenden Datei und einem anschließenden erneuten Scan geschehen.

Durch Klick auf einen Eintrag gelangen Sie in die Bedrohungsansicht, wo Sie alle Details rund um die Detektion finden.

Scans

Unter Scans finden Sie eine Auflistung aller bisher durchgeführter Malware Detection Scans inklusive Findings. Diese dienen Ihnen als Nachweis in Compliance-Themen und bietet Ihnen selbst einen ausführlichen Überblick über mögliche ToDos.

Nutzen Sie die Freitextsuche um gezielt nach Scans aus der Liste zu suchen. Durch Klick auf einen Scan erhalten Sie genaue Insights in den Umfang der Erkennung, inklusive Schweregraden, Bedrohung und Regelwerk.

Durch Klick auf einen spezifischen Scan gelangen Sie in die Detail Ansicht, wo Sie alle Findings strukturiert aufbereitet finden. Nutzen Sie die Möglichkeit direkt aus der Ansicht heraus Whitelsits zu erstellen und filtern Sie Ihre Ergebnisse, nach für Sie relevanten Informationen mit Hilfe der Freitextsuche oder der Filter.

Pläne

Pläne dienen zur Definition und Steuerung von Scans. Sie legen fest, welche Hosts wann gescannt werden, mit welchen Regelwerken die Überprüfung erfolgt und – optional – welche Pfade auf den Hosts einbezogen werden.

Hier finden Sie eine Übersicht aller bisher erstellten Pläne. Sie können direkt aus dieser Ansicht heraus Scans starten, Pläne bearbeiten oder löschen, um Ihre Scan-Strategie flexibel anzupassen.

Plan hinzufügen

Durch Klick auf die Schaltfläche Plan hinzufügen gelangen Sie in die Konfigurationsansicht zum Erstellen eines neuen Plans.

1. Vergeben Sie einen Namen und eine kurze Beschreibung.

2. Definieren Sie zugeordnete Hosts. Wählen Sie hierfür einen oder mehrere Hosts aus der Liste aus oder nutzen Sie das Tag System für Ihren Plan. Sie haben weiterhin auch die Möglichkeit Host-Ausnahmen zu definieren, um Ihre Referenzen so granular wie Möglich zu bestimmen.

3. Wählen Sie nun ein zugeordnetes Regelwerk aus der Liste aus oder nutzen Sie auch hier das Tag System. Per default sind hier immer die Managed Regeln ausgewählt. Auch hier haben Sie die Möglichkeit Ausnahmen zu definieren.

4. Definieren Sie anschließend bei Bedarf Dateipfade, um festzulegen was und wo gescannt wird. Lassen Sie diese Angabe aus, so wird automatisch das Hauptverzeichnis des Hosts gescannt.

5. Weiterhin können Sie Dateiausnahmen festlegen, welche von dem Plan nicht berücksichtigt werden sollen.

6. Die erweiterten Einstellungen geben Ihnen die Möglichkeit die Systemauslastung zu bestimmen. Hier haben Sie die Wahl zwischen:

   1. Minimum (1 Threat, max. 1CPU)

   2. Ausbalanciert (25% Auslastung)

   3. Hoch (50% Auslastung)

   4. Maximum (alle verfügbaren CPUs, 100% Auslastung)

   Auch haben Sie hier die Möglichkeit eine geplante Ausführung festzusetzen. Nutzen Sie hierfür entweder einen gültigen Cron-Ausdruck oder legen Sie den Rhythmus der Ausführungen über die jeweiligen Felder fest.

7. Fügen Sie abschließend Ihren Plan hinzu, um Ihre Konfiguration zu sichern.

Regelwerke

Mit Regelwerken können Sie gezielt festlegen, welche Muster in Dateien als auffällig erkannt werden sollen. Dabei definieren Sie spezifische Zeichenfolgen oder Wortkombinationen, die in bestimmten Zusammenhängen als verdächtig gelten. Die Regelwerke funktionieren ähnlich wie reguläre Ausdrücke (Regex) und ermöglichen eine präzise Anpassung der Erkennungsmuster an Ihre Sicherheitsanforderungen.

Durch individuell anpassbare Regeln erhalten Sie eine detaillierte Kontrolle über Ihre Sicherheitsstrategie und minimieren gleichzeitig das Risiko von Fehlalarmen.

Regelwerk hinzufügen

Klicken Sie auf die Schaltfläche Regelwerk hinzufügen, um ein neues Regelwerk zu erstellen.

1. Geben Sie einen Namen und eine kurze Beschreibung an.

2. Wählen Sie Tags aus dem Dropdown Menü aus, welche die Zuordnung zu Scans vereinfachen.

3. Legen Sie einen Schweregrad fest, der anzeigt, wie schwerwiegend es ist, wenn ein Host betroffen ist.

4. Nutzen Sie die Feld Eingabe, um nach Yara Syntax eigene Regeln zu definieren.

5. Schließen Sie Ihre Konfiguration ab, indem Sie das Regelwerk hinzufügen.

Whitelist

Mit Whitelists können Sie gezielt festlegen, welche Pfade oder Dateien von Scans ausgeschlossen werden. Dies gilt unabhängig davon, mit welchem Plan der Scan gestartet wurde. Dadurch können Sie verhindern, dass eine bereits überprüfte Datei wiederholt als Bedrohung erkannt wird.

Blockieren Sie effektiv unbefugte Zugriffe, reduzieren Sie Fehlalarme und erhöhen Sie die Effizienz Ihrer Sicherheitsmaßnahmen. Hier finden Sie alle erstellten Whitelists, rund um Advanced Persistent Threats, an einem Ort gesammelt. Bearbeiten oder löschen Sie Whitelists direkt aus der Ansicht heraus und nutzen Sie die Freitextsuche, um Einträge schnell zu finden.

Whitelist hinzufügen

Nutzen Sie die entsprechende Schaltfläche, um eine neue Whitelist hinzuzufügen.

1. Vergeben Sie einen Namen und eine kurze Beschreibung.

2. Legen Sie fest, ob die Whitelist nach Abschluss der Einrichtung aktiv sein soll.

3. Wählen Sie nun zugeordnete Hosts aus der Dropdown Liste aus oder nutzen Sie das Tag-System. Weiterhin können Sie auch hier Ausnahmen definieren.

4. Fügen Sie der Whitelist weitere Dateipfade hinzu, welche von Scans ausgeschlossen werden sollen.

5. Speichern Sie Ihre Konfiguration mit der Schaltfläche Whitelist hinzufügen.