Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.
Das Intervall, in dem der Scanner läuft, kann in der Agentenplanervorlage konfiguriert werden.
Intervall in Agentenplanervorlage konfigurieren
Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:
Alarm |
Beinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus. |
Warnung |
Beinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans. |
Hinweis |
Beinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans. |
Fehler |
Beinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben. |
Information |
Beinhaltet alle weiteren Informationen, z.B. die Update-Status. |
Hinweis: |
Das Scannen des Ereignistyps Information ist standardmäßig ausgeschaltet. Möchten Sie diesen aktivieren, so können Sie die Änderung im First Steps Wizard des Defender Managements oder in der Navigation unter System > Einstellung > Defender Management durch das Aktivieren der Checkbox Information vornehmen. Beachten Sie jedoch, dass durch das hohe Aufkommen von Ereignissen es zu einer erhöhten Auslastung der Datenbank kommen kann. |
Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin Defender Management und klicken Sie auf den Tab Ereignisse. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: gelesen und nicht gelesen.
Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf Als gelesen markieren geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.
Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:
Ereigniseintrag |
Kategorisiert alle Ereignisse in 5 Typen |
Ereignis-ID |
Von Microsoft vergebene ID |
Ereignisname |
Genauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war |
Computername |
Name des Clients, auf dem das Ereignis aufgetreten ist |
Uhrzeit der Erstellung |
Datum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat |
Ersteller des Kommentars |
Identifizierung des ACMP Benutzers, der den Kommentar erstellt hat |
Kommentardatum |
Datum des Kommentars |
Ereignismeldung |
Meldung, die das Ereignis beschreibt |
Ereignisebene |
Grobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird |
Details |
Genaue Informationen zum Ereignis |
Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.
Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.
Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender Plugin im Tab Ereignisse über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.
Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation Agentenplaner > Defender Scanner. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.
Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen Alarm statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.
Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.
Die Jobs finden Sie in der Navigation unter System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.
Zuletzt bearbeitet am 22.06.2021