Überwachen von SONAR-Erkennungsergebnissen zum Suchen von Falschmeldungen

Der Client sammelt SONAR-Erkennungsergebnisse und lädt sie auf den Management-Server hoch. Die Ergebnisse werden im SONAR-Protokoll gespeichert.
Um zu ermitteln, welche Prozesse legitim und welche Sicherheitsrisiken sind, schauen Sie sich folgende Spalten im Protokoll an:
Ereignis
Der Ereignistyp und die Aktion, die der Client im Prozess durchgeführt hat, wie zum Beispiel Bereinigung oder Protokollierung. Suchen Sie folgende Ereignistypen:
  • Ein möglicher legitimer Prozess wird als Ereignis "
    Potenzielles Risiko erkannt
    " aufgelistet.
  • Ein wahrscheinliches Sicherheitsrisiko wird als Ereignis "
    Sicherheitsrisiko gefunden
    " aufgelistet.
Anwendung
Name des Prozesses.
Anwendungstyp
Der Typ der Malware, den ein SONAR-Scan erkannte.
Datei/Pfad.
Der Pfadname von dem aus der Prozess gestartet wurde.
Die
Ereignis
-Spalte zeigt Ihnen sofort, ob ein erkannter Prozess ein Sicherheitsrisiko oder ein möglicher legitimierter Prozess ist. Ein potenzielles Risiko, das gefunden wird, kann jedoch eventuell ein legitimer Prozess sein und ein Sicherheitsrisiko, das gefunden wird, kann eventuell ein bösartiger Prozess sein. Deshalb müssen Sie auf die Spalten "
Anwendungstyp
" und "
Datei/Pfad.
" achten, um weitere Informationen zu erhalten. Beispielsweise erkennen Sie möglicherweise den Anwendungsnamen einer legitimen Anwendung, die ein Drittunternehmen entwickelt hat.
  1. So überwachen Sie SONAR-Erkennungsergebnisse zum Erkennen von Falschmeldungen
  2. Klicken Sie in der Konsole auf "
    Überwachung > Protokolle
    ".
  3. Auf der Registerkarte "Protokolle" in der Dropdown-Liste "
    Protokolltyp
    " klicken Sie auf "
    SONAR
    ".
  4. Wählen Sie einen Zeitpunkt aus dem Listenfeld "
    Zeitbereich
    " aus, der der letzten Änderung der Scaneinstellung am nächsten ist.
  5. Klicken Sie auf "
    Zusätzliche Einstellungen
    ".
    In 12.1.x entspricht
    Zusätzliche Einstellungen
    der Option
    Erweiterte Einstellungen
    .
  6. In der Dropdown-Liste "
    Ereignistyp
    " wählen Sie eins der folgenden Protokollereignisse aus:
    • Um alle erkannten Prozesse anzuzeigen, beachten Sie, dass "
      Alle
      " ausgewählt ist.
    • Um die Prozesse anzuzeigen die als Sicherheitsrisiken ausgewertet wurden, klicken Sie auf "
      Sicherheitsrisiko gefunden
      ".
    • Um die Prozesse anzuzeigen die als mögliche Risiken ausgewertet und protokolliert wurden, klicken Sie auf "
      Potenzielles Risiko erkannt
      ".
  7. Klicken Sie auf "
    Protokoll anzeigen
    ".
  8. Nachdem Sie die legitimen Anwendungen und die Sicherheitsrisiken identifiziert haben, erstellen Sie eine Ausnahme in einer Ausnahmerichtlinie.
    Sie können die Ausnahme direkt vom Teilfenster "SONAR-Protokoll" aus erstellen.