Trend Micro OfficeScan 10 - Behavior Monitoring
Das Behavior Monitoring erweitert den Schutz Ihrer Client Systeme durch die ständige Analyse des Systemes auf verdächtige Aktivitäten.
Behavior Monitoring teilt sich in 3 Bereiche auf:
1. Malware Behavior Blocking
2. Event Monitoring
3. Exceptions
Darüber hinaus werden über das Behavior Monitoting Modul die Client Self Protection & Device Control realisiert.
Auf Client Self Protection & Device Control werde ich im nächsten Blogeintrag näher eingehen.
Die Konfiguration für das Behavior Monitoring können Sie über die OfficeScan Server Web Console unter “Networked Computer” - “Client Management” - “Settings” - “Behavior Monitoring Settings” aufrufen und pro OfficeScan Domain oder sogar dediziert für einzelne Client Systeme konfigurieren.
1. Malware Behavior Blocking
Das Malware Behavior Blocking greift auf das Behavior Monitoring Detection pattern zurück um die Ausführung von Malware zu verhindern. Ähnlich eines Virus Pattern stellt Trend Micro das Behavior Monitoring Detection pattern über die ActiveUpdate Server für Ihren OfficeScan Server zur Verfügung. Ihre Clients laden sich dann das Behavior Monitoring Detection pattern vom OfficeScan Server herunter.
2. Event Monitoring
Das Event Monitoring ermöglicht es Ihnen als Administrator Aktionen für bestimmte Ereignisse festzulegen. Zum Beispiel können Sie definieren was passieren soll wenn auf einem Client System die Hosts Datei modifiziert wird oder was passieren soll, wenn ein Internet Explorer Plugin installiert wird.Hier eine Liste der zur Zeit überwachten Ereignisse:
Folgende Aktionen kann man als Administrator definieren:
Asses:
Das Ereignis wird zugelassen und in ein Logfile geschrieben.
Allow:
Das Ereignis wird zugelassen und nicht in einem Logfile vermerkt.
Ask when Necessary:
Sie erhalten beim eintreten eines bestimmten Ereignisses die Möglichkeit selber zu bestimmen ob der Zugriff geblockt oder erlaubt werden soll (Allow oder Deny).
Aus Sicherheitsgründen ist das auf dem Client nur einmalig möglich d.h. wenn das selbe Ereignis ein zweites mal eintritt müssen Sie als Benutzer die Aktion wieder explizit erlauben oder verbieten. Solange der Benutzer nicht die Berechtigung hat lokal am Client die entsprechende Einstellung vorzunehmen muß er sich zwangsläufig an den Administrator wenden.
Trend Micro empfiehlt bei Verwendung dieser Funktion unter anderem auch den Certified Safe Software Service zu aktivieren. Darüber fragt der OfficeScan Client direkt bei Trend Micro Servern an ob eine bestimmte Anwendung bei Trend Micro bekannt und sicher ist. Aktivieren können Sie diese Option unter “Networked Computers” - “Global Client Settings” - “Behavior Monitoring Settings”.
Deny:
Das Ereignis wird nicht zugelassen und ein entsprechender Eintrag im Logfile erfolgt.
3. Exceptions
Sollten bestimmte von Ihnen gewünschte Komponenten bzw. Anwendungen vom Malware Behavior Monitoring oder Event Monitoring an der Ausführung gehindert werden können Sie über die Exceptions unter Angabe des absoluten Dateipfades entsprechende Ausnahmen definieren.
ma/IOK
Kommentare
Hinterlassen Sie ein Antwort