Ereignisse

Navigation:  Defender Management >

Ereignisse

Version 1.0.0

Defender-Aktivitäten auf dem Client werden in Form von Ereignissen protokolliert. Sie werden vom ACMP Agenten regelmäßig gescannt und an den ACMP Server übermittelt. Handelt es sich bei den Ereignissen um Alarme und mögliche Bedrohungen, werden diese hingegen in Echtzeit an den Server übermittelt.

 

Das Intervall, in dem der Scanner läuft, kann in der Agentenplanervorlage konfiguriert werden.

 

Intervall in Agentenplanervorlage konfigurieren

Intervall in Agentenplanervorlage konfigurieren

 

Dabei wird bei den Ereignissen in unterschiedliche Ereignistypen unterschieden:

Alarm

Beinhaltet alle gefundenen und möglichen Bedrohungen, die auf dem Client gefunden wurden, wie z.B. der Fund eines Virus.

Warnung

Beinhaltet mögliche, sicherheitsrelevante Informationen, die bei Nicht-Beachtung möglicherweise zu einer Sicherheitslücke führen könnten, z.B. durch die Deaktivierung eines Scans.

Hinweis

Beinhaltet nicht-sicherheitsrelevante Informationen, wie z.B. den Beginn eines Scans.

Fehler

Beinhaltet fehlerhafte oder fehlgeschlagene Vorgänge, die auf dem Client stattgefunden haben.

Information

Beinhaltet alle weiteren Informationen, z.B. die Update-Status.

 

Hinweis

Hinweis:

Das Scannen des Ereignistyps Information ist standardmäßig ausgeschaltet. Möchten Sie diesen aktivieren, so können Sie die Änderung im First Steps Wizard des Defender Managements oder in der Navigation unter System > Einstellung > Defender Management durch das Aktivieren der Checkbox Information vornehmen. Beachten Sie jedoch, dass durch das hohe Aufkommen von Ereignissen es zu einer erhöhten Auslastung der Datenbank kommen kann.

 

Ereignisse anzeigen lassen

Um alle protokollierten Ereignisse einzusehen, gehen Sie in der Navigation in das Plugin Defender Management und klicken Sie auf den Tab Ereignisse. Dort erscheint die Auflistung aller Ereignisse, angefangen mit dem aktuellsten. Dabei hat jedes Ereignis 2 Status: gelesen und nicht gelesen.

 

Den jeweiligen Status erkennen Sie am geöffneten oder geschlossenen Brief-Symbol am Ereigniseintrag. Sie haben den Eintrag gelesen, wenn Sie in der Ribbonleiste auf Als gelesen markieren geklickt haben. Sie haben die Möglichkeit, dem Ereigniseintrag einen Kommentar hinzuzufügen.

 

Jedes Ereignis enthält in der Auflistung folgende Eigenschaften:

Ereigniseintrag

Kategorisiert alle Ereignisse in 5 Typen

Ereignis-ID

Von Microsoft vergebene ID

Ereignisname

Genauere Einordnung des Ereignisses, um einzusehen, was der Trigger dafür war

Computername

Name des Clients, auf dem das Ereignis aufgetreten ist

Uhrzeit der Erstellung

Datum und Uhrzeit, wann das Ereignis auf dem Client stattgefunden hat

Ersteller des Kommentars

Identifizierung des ACMP Benutzers, der den Kommentar erstellt hat

Kommentardatum

Datum des Kommentars

Ereignismeldung

Meldung, die das Ereignis beschreibt

Ereignisebene

Grobe Kategorisierung des Ereignisses, welche von Microsoft vergeben wird

Details

Genaue Informationen zum Ereignis

 

Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.

 

Möchten Sie nur einen bestimmten Ereignistypen in der Auflistung angezeigt bekommen, können Sie über das Filtersymbol oberhalb der Liste den gewünschten Typen einstellen und filtern.

 

Ereignisse eines bestimmten Clients einsehen

Um sich die Ereignisse eines bestimmten Clients anzeigen zu lassen, können Sie entweder im Defender Plugin im Tab Ereignisse über die Filtermöglichkeit in der Spalte nach bestimmten Clients filtern oder sich diese in den Client Details des gewünschten Clients anschauen. Klicken Sie hierzu in der Auflistung über einen Doppelklick auf einen bestimmten Ereigniseintrag, der auf dem gewünschten Client erfolgt ist. Sie gelangen dann zu den Client Details.

 

Ereignisse scannen

Der Defender Scanner ist standardmäßig deaktiviert und kann manuell aktiviert werden. Das geschieht entweder nach Abschluss des First Steps Wizards oder manuell über die Navigation Agentenplaner > Defender Scanner. Mit einem Doppelklick darauf erscheint ein Wizard, in dem Sie den Zeitpunkt und das Intervall festlegen.

 

Echtzeitübermittlung von gefundenen Bedrohungen

Damit in besonders dringenden Fällen zeitnah reagiert werden kann, ist eine Echtzeitübermittlung der gefundenen Bedrohungsereignisse vorhanden. Diese Übermittlung findet dann ausschließlich für den Ereignistypen Alarm statt. Wenn am Client eine Bedrohung erkannt wurde, wird diese durch den ACMP Agenten an den ACMP Server in Echtzeit übertragen und kann in den Ereignissen eingesehen werden.

 

Löschen von veralteten Ereignissen

Damit nicht unnötig Speicher belegt wird, können Sie für die Ereignisse wie auch für Quarantäne-Dateien regelmäßig sogenannte Bereinigungsjobs nutzen.

 

Die Jobs finden Sie in der Navigation unter System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Bereinigung der Defender Ereignisse. Dabei ist standardmäßig festgelegt, dass alle Ereignisse nach 30 Tagen gelöscht werden. Die Bereinigung selbst erfolgt alle 5 Stunden, wobei dieses Intervall ebenfalls angepasst werden kann.

Zuletzt bearbeitet am 22.06.2021