Ermitteln der Regel, die ein Ereignis bzw. eine Warnung von Threat Intelligence Exchange ausgelöst hat
Technische Artikel ID:
KB82925
Zuletzt geändert am: 27.02.2023
Zuletzt geändert am: 27.02.2023
Umgebung
McAfee Threat Intelligence Exchange-Modul (TIEm) für VirusScan Enterprise 1.x
McAfee Threat Intelligence Exchange (TIE)-Server 1.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee Threat Intelligence Exchange (TIE)-Server 1.x
McAfee VirusScan Enterprise (VSE) 8.x
Zusammenfassung
In diesem Artikel wird beschrieben, wie Sie die Regel-ID und den Namen für ein bestimmtes Ereignis in TIEm für VSE ermitteln.
Lösung
So ermitteln Sie, welche TIE-Regel ein Ereignis in TIEm für VSE ausgelöst hat:
Arbeitsstation
Wenn Sie nur auf die Arbeitsstation zugreifen können, auf der das Ereignis generiert wird, führen Sie die folgenden Schritte aus:
Arbeitsstation
Wenn Sie nur auf die Arbeitsstation zugreifen können, auf der das Ereignis generiert wird, führen Sie die folgenden Schritte aus:
- Öffnen Sie die Datei TIEMDetections.log in Notepad.exe.
HINWEIS: Die Protokolldatei befindet sich im folgenden Verzeichnis: %PROGRAMDATA%\McAfee\TIEM\
- Suchen Sie in der Protokolldatei nach dem relevanten Eintrag für die Erkennung.
- Suchen Sie nach der RuleID im Wert für convictingRuleID im gleichen Datensatz.
Beispiel:
09/12/14 17:55:26 [I] [0xb34] "!TIEM_DETECTION":["file":"C:\USERS\USER\DESKTOP\SAMPLES\TestDetection1.EXE","user":"user1","reaction":
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
HINWEIS: Die RuleID, die die Erkennung für TestDetection1.EXE ausgelöst hat, war RuleID=4. Dies entspricht einer Erkennung anhand der GTI-Datei-Reputation, wie in der folgenden Tabelle erläutert.
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
HINWEIS: Die RuleID, die die Erkennung für TestDetection1.EXE ausgelöst hat, war RuleID=4. Dies entspricht einer Erkennung anhand der GTI-Datei-Reputation, wie in der folgenden Tabelle erläutert.
ePolicy Orchestrator (ePO)
Wenn Sie nur auf die ePO-Konsole zugreifen können, führen Sie die folgenden Schritte aus:
- Melden Sie sich bei der ePO -Konsole an.
- Wählen Sie den erforderlichen Bericht unter Dashboards aus, oder klicken Sie auf Menü und dann auf Berichterstellung.
- Wählen Sie TIE Module for VSE Events (TIE-Modul für VSE-Ereignisse) aus, und führen Sie einen Drilldown zum gewünschten Bericht aus.
HINWEIS: Wenn die RuleID nicht im Bericht angezeigt wird, gehen Sie wie folgt vor:- Klicken Sie auf Aktionen und dann auf Spalten auswählen, und wählen Sie unter "Threat Intelligence Exchange for VSE Events" (Threat Intelligence Exchange-Modul für VSE-Ereignisse) RuleID aus.
- Klicken Sie auf Speichern.
- Rufen Sie den Bericht erneut auf.
RuleIDs und entsprechender Regelname und Beschreibungen:
Die folgende Tabelle wird lediglich zu Informationszwecken bereitgestellt. Wenn McAfee Regelaktualisierungen veröffentlicht, können Angaben in der Tabelle ungültig werden. Aktuelle Einzelheiten können Sie wie folgt über die ePO-Konsole abrufen:
HINWEIS: Insgesamt gibt es 51 Regeln, jede mit einem vordefinierten Zustand und einer Zielreputation, die davon abhängen, welche der folgenden Konfigurationen angewendet wird:
Die folgende Tabelle wird lediglich zu Informationszwecken bereitgestellt. Wenn McAfee Regelaktualisierungen veröffentlicht, können Angaben in der Tabelle ungültig werden. Aktuelle Einzelheiten können Sie wie folgt über die ePO-Konsole abrufen:
- Melden Sie sich bei der ePO-Konsole an.
- Klicken Sie auf Menü, auf Konfiguration und dann auf Server-Einstellungen.
- Wählen Sie unter "Einstellungskategorien" Threat Intelligence Exchange-Modul für VSE aus.
RuleID | Regel-ID | Regelversion | Regelreputation | Name | Beschreibung | Lange Beschreibung | ||||
0 | 0 | 0 | -1 | Nicht zutreffend | Diese Reputation ist von keiner Regel betroffen. | Diese Reputation ist von keiner Regel betroffen. | ||||
1 | 196609 | 3 | -1 | Verwenden der Zertifikatreputation zur Identifizierung vertrauenswürdiger oder bösartiger Dateien | Bestimmt anhand der GTI- oder Enterprise-Reputation des Zertifikats, mit dem die Datei signiert ist, ob eine Datei vertrauenswürdig oder bösartig ist. | Diese Regel bestimmt anhand der GTI- oder Enterprise-Reputation des Zertifikats, mit dem die Datei signiert ist, ob eine Datei vertrauenswürdig oder bösartig ist. Die Zertifikatreputation muss "Als bösartig bekannt", "Als vertrauenswürdig bekannt", "Höchstwahrscheinlich bösartig" oder "Höchstwahrscheinlich vertrauenswürdig" lauten. | ||||
2 | 65538 | 1 | -1 | Verwenden der Enterprise-Datei-Reputation zur Identifizierung vertrauenswürdiger oder bösartiger Dateien | Bestimmt anhand der Enterprise-Reputation der Datei, ob eine Datei vertrauenswürdig oder bösartig ist. | Diese Regel bestimmt anhand der Enterprise-Reputation der Datei, ob eine Datei vertrauenswürdig oder bösartig ist. Die Reputation muss mindestens "Als bösartig bekannt", "Als vertrauenswürdig bekannt", "Höchstwahrscheinlich bösartig" oder "Höchstwahrscheinlich vertrauenswürdig" lauten. | ||||
4 | 131076 | 2 | -1 | Verwenden der GTI-Datei-Reputation zur Identifizierung vertrauenswürdiger oder bösartiger Dateien | Bestimmt anhand der GTI-Reputation, ob eine Datei vertrauenswürdig oder bösartig ist. | Diese Regel bestimmt anhand der GTI-Reputation der Datei, ob eine Datei vertrauenswürdig oder bösartig ist. Die Reputation muss mindestens "Als bösartig bekannt", "Als vertrauenswürdig bekannt", "Höchstwahrscheinlich bösartig" oder "Höchstwahrscheinlich vertrauenswürdig" lauten. | ||||
10 | 65546 | 1 | 100 | Identifizieren einer Datei als Hauptkomponente eines vertrauenswürdigen Installationsprogramms anhand der Datei-Reputation | Bestimmt anhand des Dateinamens und der GTI- oder Enterprise-Reputation, ob es sich bei einer Datei um ein vertrauenswürdiges Installationsprogramm handelt. | Diese Regel bestimmt anhand der GTI- oder Enterprise-Reputation der Datei, ob es sich bei der Datei um ein vertrauenswürdiges Installationsprogramm handelt. Dabei werden außerdem der Datei- und der Unternehmensname überprüft, um festzustellen, ob es sich um eine vertrauenswürdige Komponente eines Aktualisierungs- oder Installationsprogramms handelt. | ||||
11 | 131083 | 2 | 100 | Identifizieren einer Datei als Hauptkomponente eines vertrauenswürdigen Installationsprogramms anhand der Zertifikatreputation der Datei | Bestimmt anhand des Dateinamens und der GTI- oder Enterprise-Reputation des Zertifikats, mit dem die Datei signiert ist, ob es sich um ein vertrauenswürdiges Installationsprogramm handelt. | Diese Regel bestimmt anhand der GTI- oder Enterprise-Reputation des Zertifikats, mit dem die Datei signiert ist, ob es sich um ein vertrauenswürdiges Installationsprogramm handelt. Darüber hinaus werden Dateieigenschaften wie der Datei- und Unternehmensname geprüft, um zu ermitteln, ob es sich um eine vertrauenswürdige Komponente eines Aktualisierungs- oder Installationsprogramms handelt. | ||||
12 | 131084 | 2 | 100 | Identifizieren einer Datei als Hauptkomponente eines vertrauenswürdigen Installationsprogramms anhand einer spezifischen, durch einen Hash-Wert identifizierten Datei | Bestimmt anhand des Hash-Werts und der GTI- oder Enterprise-Reputation, ob es sich bei einer Datei um ein vertrauenswürdiges Installationsprogramm handelt. | Diese Regel bestimmt anhand des Hash-Werts und der GTI- oder Enterprise-Reputation der Datei, ob es sich bei der Datei um eine vertrauenswürdige Komponente eines Aktualisierungs- oder Installationsprogramms handelt. | ||||
20 | 65556 | 1 | -1 | Identifizieren vertrauenswürdiger Dateien mit McAfee-Berechtigungen | Identifiziert vertrauenswürdige Dateien anhand von Zertifikaten oder Hashes, die in DAT-Dateien für den Virenschutz verteilt werden. | Diese Regel identifiziert vertrauenswürdige Dateien anhand von Zertifikaten oder Hashes, die in DAT-Dateien für den Virenschutz verteilt werden und darüber hinaus über erhöhte Berechtigungen für Prozesse und Treiber von McAfee verfügen können. | ||||
35 | 131107 | 2 | 1 | Installationsüberprüfung | Identifiziert ein Testmuster, das zur Überprüfung der Installation verwendet werden kann. | Diese Regel identifiziert ein Testmuster, das zur Überprüfung der Installation verwendet werden kann. | ||||
50 | 65586 | 1 | 85 | Identifizieren vertrauenswürdiger Dateien von einem vertrauenswürdigen Ersteller | Identifiziert vertrauenswürdige Dateien, die von einem uneingeschränkt vertrauenswürdigen Aktualisierungsprogramm erstellt wurden. | Diese Regel identifiziert vertrauenswürdige Dateien, die von einem uneingeschränkt vertrauenswürdigen Aktualisierungsprogramm erstellt und nicht verändert wurden. | ||||
55 | 65591 | 1 | 99 | Identifizieren von Zertifikaten, bei denen eine Korrektur der Reputation erforderlich ist | Identifiziert Zertifikate von Tier 1-Anbietern, deren Reputationsstufe korrigiert werden muss. | Diese Regel identifiziert Zertifikate von Tier 1-Anbietern, deren Reputationsstufe korrigiert werden muss. | ||||
57 | 65593 | 1 | -1 | Verwenden der GTI-Datei-Reputation zur Identifizierung möglicherweise vertrauenswürdiger oder bösartiger Dateien | Bestimmt anhand der GTI-Datei-Reputation, welche Dateien möglicherweise vertrauenswürdig oder bösartig sind. | Diese Regel identifiziert Dateien mit einer weniger aussagekräftigen GTI-Reputation, z. B. "Möglicherweise vertrauenswürdig" oder "Möglicherweise bösartig". | ||||
96 | 65632 | 1 | 0 | Intelligente Eingabeaufforderung | Unterdrückt Eingabeaufforderungen beim Laden von Bibliotheken für vertrauenswürdige Anwendungen, bei denen es sich nicht um Internet-Browser handelt. | Diese Regel unterdrückt Eingabeaufforderungen beim Laden von Bibliotheken für vertrauenswürdige Anwendungen, bei denen es sich nicht um Internet-Browser handelt. | ||||
97 | 131169 | 2 | 70 | Wenn offline, Dateien basierend auf der standardmäßigen Sicherheitsstufe für Systeme als vertrauenswürdig einstufen | Bestimmt, dass Dateien ohne verdächtige Eigenschaften als vertrauenswürdig eingestuft werden, wenn das System offline ist (vom TIE-Server und von GTI getrennt). | Diese Regel behandelt Dateien ohne verdächtige Eigenschaften als vertrauenswürdig, wenn das System vom TIE-Server und von GTI getrennt ist. Diese Regel wird als letzte ausgeführt. | ||||
98 | 131170 | 2 | 70 | Wenn offline, Dateien basierend auf der Sicherheitsstufe für Systeme mit hoher Änderungsrate als vertrauenswürdig einstufen | Bestimmt, dass Dateien ohne verdächtige Eigenschaften als vertrauenswürdig eingestuft werden, wenn das System offline ist (vom TIE-Server und von GTI getrennt). | Diese Regel behandelt Dateien ohne verdächtige Eigenschaften als vertrauenswürdig, wenn das System vom TIE-Server und von GTI getrennt ist. Diese Regel wird als letzte ausgeführt. | ||||
99 | 131171 | 2 | 50 | Wenn offline, Dateien basierend auf der Sicherheitsstufe für Systeme mit niedriger Änderungsrate als vertrauenswürdig einstufen | Bestimmt, dass Dateien ohne verdächtige Eigenschaften als unbekannt eingestuft werden, wenn das System offline ist (vom TIE-Server und von GTI getrennt). | Dateien ohne verdächtige Eigenschaften werden als unbekannt eingestuft, wenn das System vom TIE-Server und von GTI getrennt ist. Diese Regel wird als letzte ausgeführt. | ||||
126 | 131198 | 2 | 85 | Identifizieren vertrauenswürdiger signierter Anwendungen | Identifiziert Dateien, die signiert wurden und Pfade aufweisen, die in der Regel zur Programminstallation verwendet werden. Die Dateien können auch über einen Eintrag im Startmenü verfügen. | Diese Regel identifiziert signierte Dateien, die über ein gültiges, nicht selbstsigniertes Zertifikat verfügen. Der Dateispeicherort wird mit Umgebungsattributen wie dem Eintrag im Startmenü berücksichtigt. | ||||
127 | 65663 | 1 | 85 | Identifizieren vertrauenswürdiger Hilfe-Ressourcenbibliotheken | Identifiziert signierte Ressourcenbibliotheken, die von vertrauenswürdiger Software verwendet werden. | Diese Regel identifiziert Ressourcenbibliotheken, die von vertrauenswürdiger Software verwendet werden. Die Dateien sind signiert und weisen keine Zertifikatreputation vom Typ "Bösartig" auf. Sie verfügen über die Eigenschaften einer Ressourcenbibliothek und weisen beispielsweise keine Importe oder Exporte und eine geringe Anzahl von übertragbaren ausführbaren Abschnitten auf. | ||||
128 | 65664 | 1 | 85 | Identifizieren vertrauenswürdiger Hilfe-Ressourcenbibliotheken | Identifiziert signierte Ressourcenbibliotheken, die von vertrauenswürdiger Software verwendet werden. Diese Bibliotheken werden im Allgemeinen als Teil der Hilfedokumentation verwendet. | Diese Regel identifiziert signierte Ressourcenbibliotheken, die von vertrauenswürdiger Software verwendet werden. Die Bibliotheken werden im Allgemeinen als Teil der Hilfedokumentation der Anwendung verwendet. Sie sind signiert und weisen keine Zertifikatreputation vom Typ "Bösartig" auf. Sie verfügen über die Eigenschaften einer Ressourcenbibliothek und weisen beispielsweise keine Importe oder Exporte und eine geringe Anzahl von übertragbaren ausführbaren Abschnitten auf. Zudem befinden sie sich in Anwendungsinstallationsordnern. | ||||
129 | 65665 | 1 | 85 | Identifizieren vertrauenswürdiger signierter Dienstprogrammanwendungen | Identifiziert Dienstprogrammanwendungen, die signiert sind und deren Zertifikat nicht als nicht vertrauenswürdig gilt. Diese Dateien werden beim Start nicht geladen und verfügen über Eigenschaften von Dienstprogrammen. | Diese Regel identifiziert Dienstprogrammanwendungen, die signiert sind und deren Zertifikat nicht als nicht vertrauenswürdig gilt. Diese Dateien werden beim Start nicht geladen. Sie befinden sich in einem Ordner, der für ein Tool oder installiertes Programm vorgesehen ist (Beispiel: "%programfiles%\subfolder"), importieren APIs und verfügen über weitere Eigenschaften, die für vertrauenswürdigen Dienstprogrammanwendungen typisch sind. | ||||
130 | 65666 | 1 | 85 | Identifizieren vertrauenswürdiger signierter Treiber | Identifiziert Gerätetreiber, die signiert und auf dem lokalen System installiert sind. | Diese Regel identifiziert Gerätetreiber, die signiert und auf dem lokalen System installiert sind. Sie verwenden das native Subsystem und befinden sich im Ordner "%windir%\system32\drivers" bzw. "%windir%\system32\driverstore". | ||||
131 | 65667 | 1 | 85 | Identifizieren vertrauenswürdiger signierter Bibliotheken für die Verwaltung digitaler Rechte (DRM) | Identifiziert signierte vertrauenswürdige Bibliotheken für die Verwaltung digitaler Rechte, die von Windows verwendet werden. | Diese Regel identifiziert Bibliotheken, die für die Verwaltung digitaler Rechte eingesetzt werden, signiert sind und deren Zertifikat vertrauenswürdig ist. Diese Dateien befinden sich in den Windows DRM- und DRM-Cache-Ordnern. | ||||
132 | 65668 | 1 | 85 | Identifizieren vertrauenswürdiger signierter Dateien | Identifiziert Dateien, die signiert und vertrauenswürdig sind und deren Zertifikatreputation vertrauenswürdig ist. | Diese Regel identifiziert Dateien, die signiert und vertrauenswürdig sind und deren Zertifikat ebenfalls vertrauenswürdig ist. | ||||
133 | 65669 | 1 | 70 | Identifizieren vertrauenswürdiger Dateien auf der Festplatte | Identifiziert auf der Festplatte vorhandene Dateien, die vor der Installation des TIE-Moduls nicht als verdächtig eingestuft wurden. | Diese Regel identifiziert Dateien, die auf der Festplatte vorhanden sind und vor der Installation des TIE-Moduls nicht als verdächtig eingestuft wurden. Anhand des NTFS-Datei-Journaling wurde erkannt, dass sie nicht manipuliert wurden. | ||||
134 | 131206 | 2 | 85 | Identifizieren vertrauenswürdiger Dateien auf der Festplatte, die vor der Installation des TIE-Moduls im Unternehmen allgemein verbreitet waren | Identifiziert Dateien auf der Festplatte, die vor der Installation des TIE-Moduls nicht als verdächtig eingestuft wurden und im Unternehmen bekannt sind. | Diese Regel identifiziert Dateien, die auf der Festplatte vorhanden sind und vor der Installation des TIE-Moduls nicht als verdächtig eingestuft wurden. Anhand des NTFS-Datei-Journaling wurde erkannt, dass sie nicht manipuliert wurden. Die Dateien müssen darüber hinaus im Unternehmen bekannt sein. | ||||
138 | 131210 | 2 | 70 | Identifizieren vertrauenswürdiger, nicht signierter Microsoft DOTNet-Assemblys | Erkennt Microsoft DOTNet-Assemblys, die nicht mit einem als vertrauenswürdig bekannten Zertifikat signiert sind. Diese Dateien sind möglicherweise nur auf wenigen Computern im Unternehmen vorhanden. | Diese Regel erkennt von Microsoft bereitgestellte Dateien, die CLR-Code (DOTNet) enthalten, in Ordnern des globalen Assembly-Caches installiert wurden und keine verdächtigen Attribute enthalten. Die Dateien können auf mehreren Computern im Unternehmen vorhanden sein; dies kann auch JIT (Just-in-Time)-kompilierte Assemblys umfassen. | ||||
139 | 196747 | 3 | 70 | Identifizieren vertrauenswürdiger DOTNet-Assemblys | Erkennt DOTNet-Assemblys, die im globalen Assembly-Cache installiert wurden und auf mehreren Computern vorhanden sind. | Diese Regel erkennt Dateien, die CLR-Code (DOTNet) enthalten und in Ordnern des globalen Assembly-Caches installiert wurden. Die Dateien befinden sich auf mehreren Computern innerhalb des Unternehmens, was darauf hindeutet, dass es sich nicht um Assemblys mit Just-In-Time-Kompilierung handelt. | ||||
140 | 131212 | 2 | 85 | Identifizieren vertrauenswürdiger, allgemein verbreiteter Dateien | Erkennt Dateien, die bereits seit längerer Zeit im Unternehmen vorhanden sind und auf mehreren Computern verbreitet sind. | Diese Regel erkennt Dateien als vertrauenswürdig, da sie weit verbreitet und allgemein bekannt sind. Die Dateien sind auf mehreren Computern im Unternehmen vorhanden und seit mehr als drei Monaten bekannt. | ||||
151 | 65687 | 1 | 70 | Identifizieren von Web-Installationsprogrammen | Identifiziert Web-Installationsprogramme, die signiert sind und deren Zertifikat nicht als nicht vertrauenswürdig gilt. Darüber hinaus werden Hersteller, Produkt und Version identifiziert. | Diese Regel identifiziert Web-Installationsprogramme, die signiert sind und deren Zertifikat nicht als nicht vertrauenswürdig gilt. Darüber hinaus werden Hersteller, Produkt und Version des Web-Installationsprogramms identifiziert. | ||||
152 | 65688 | 1 | 70 | Identifizieren sicherer Dateien, die vom Windows Installer extrahiert wurden | Identifiziert sichere Dateien, die vom Windows Installer extrahiert wurden, anhand des Akteurprozesses, des Zertifikats und der Cloud-Reputation. | Diese Regel identifiziert sichere Dateien, die vom Windows Installer extrahiert wurden, anhand des Akteurprozesses, des Zertifikats und der Cloud-Reputation. Wenn die vom Installationsprogramm gelöschte Datei in irgendeiner Weise verdächtig ist, ergibt die Regel keine einwandfreie Reputation. | ||||
153 | 65689 | 1 | 70 | Identifizieren von Dateien, die ATD nicht als verdächtig meldet | Identifiziert Dateien, die Advanced Threat Defense nicht als verdächtig meldet. | Diese Regel identifiziert Dateien, die von Advanced Threat Defense bewertet und nicht als verdächtig gemeldet wurden. | ||||
205 | 65741 | 1 | 30 | Identifizieren verdächtiger Dateien mit unüblichem Erstellungsdatum, die wahrscheinlich nicht komprimiert sind | Identifiziert verdächtige Dateien, die wahrscheinlich nicht komprimiert sind, ein ungewöhnliches Erstellungsdatum aufweisen und sich in Ordnern wie "Temp" oder "Downloads" befinden. | Diese Regel identifiziert verdächtige Dateien an Speicherorten wie dem Ordner "Temp" oder "Downloads". Diese Dateien sind wahrscheinlich nicht komprimiert und es gibt Anzeichen dafür, dass die Datumseigenschaften manipuliert wurden. | ||||
206 | 65742 | 1 | 30 | Identifizieren verdächtiger Dateien mit unüblichem Erstellungsdatum, die wahrscheinlich komprimiert sind | Identifiziert verdächtige Dateien im gesamten System. Diese Dateien sind wahrscheinlich komprimiert und es gibt Anzeichen dafür, dass das Datum manipuliert wurde. | Diese Regel identifiziert verdächtige Dateien im gesamten System. Diese Dateien werden als komprimiert identifiziert und es gibt Anzeichen dafür, dass die Datumseigenschaften manipuliert wurden. | ||||
207 | 131279 | 2 | 15 | Identifizieren verdächtiger Dateien, die im Papierkorb ausgeführt werden | Identifiziert verdächtige Dateien, die im Papierkorb ausgeführt werden. | Diese Regel identifiziert verdächtige Dateien, die sich im Papierkorb befinden und von dort aus ausgeführt werden. | ||||
208 | 65744 | 1 | 15 | Identifizieren verdächtiger Dateien, die im Roaming-Ordner ausgeführt werden | Identifiziert verdächtige Dateien, die im Roaming-Ordner des Benutzers ausgeführt oder geladen werden. | Diese Regel identifiziert verdächtige Dateien, die im Roaming-Ordner des Benutzers ("%userprofile%\appdata\roaming") auf nicht ordnungsgemäße Weise ausgeführt oder geladen werden. | ||||
209 | 131281 | 2 | 15 | Identifizieren verdächtiger Dateien, die vor dem Benutzer verborgen werden | Identifiziert verdächtige Dateien, die ausgeführt oder geladen werden, ohne dass sie dem Benutzer angezeigt werden. | Diese Regel identifiziert verdächtige Dateien, die ausgeführt oder geladen werden und dabei vor dem Benutzer mithilfe von Mechanismen wie Dateiattributen verborgen werden. Diese Dateien sollen den Anschein erwecken, dass es sich um wichtige Betriebssystemdateien handelt. | ||||
211 | 65747 | 1 | 15 | Identifizieren verdächtiger Dateien, die von einem nicht vertrauenswürdigen Prozess erstellt wurden | Identifiziert verdächtige Dateien, die von einem Prozess mit der Reputation "Verdächtig" oder "Als bösartig bekannt" erstellt wurden. | Diese Regel identifiziert Dateien als verdächtig, wenn der Prozess, von dem sie erstellt wurden, zum Zeitpunkt der Erstellung die Reputation "Möglicherweise bösartig" oder "Als bösartig bekannt" aufwies. Darüber hinaus wurde die Datei seit ihrer Erstellung nicht geändert. | ||||
213 | 65749 | 1 | 30 | Identifizieren einer Datei als verdächtig aufgrund ihrer Komprimierungsart | Identifiziert eine komprimierte oder verschlüsselte Datei als verdächtig, wenn das Komprimierungsprogramm normalerweise nicht von legitimer Software verwendet wird. | Diese Regel identifiziert eine Datei als verdächtig, wenn sie als komprimiert oder verschlüsselt erkannt wird und die Datei Merkmale aufweist, die in legitimer Software normalerweise nicht vorhanden sind. | ||||
214 | 65750 | 1 | 30 | Identifizieren eines verdächtigen Keyloggers | Identifiziert eine Datei als verdächtig, wenn sie Funktionen aufweist, die von seriöser Software nicht verwendet werden und sie wie ein Keylogger aussieht. | Diese Regel identifiziert eine Datei als verdächtig, wenn sie über Funktionen verfügt, die von seriöser Software nicht verwendet werden. Die Datei verfügt über verdächtige Eigenschaften, hierzu zählt beispielsweise das Importieren von APIs, die zur Überwachung von Tastatureingaben dienen. Darüber hinaus weist die Datei keine Versionsinformationen auf. | ||||
217 | 65753 | 1 | 15 | Identifizieren eines verdächtigen Kennwortdiebstahls | Identifiziert Dateien, die fälschlicherweise im Roaming-Profil des Benutzers installiert wurden und über verdächtige Eigenschaften verfügen. | Diese Regel identifiziert Dateien, die fälschlicherweise im Roaming-Profil des Benutzers installiert wurden und über verdächtige Eigenschaften verfügen. Die Datei importiert APIs, die zur Überwachung von Tastaturanschlägen, Aufnahme von Screenshots sowie zur Überprüfung auf aktive Debugger verwendet werden. | ||||
218 | 65754 | 1 | 30 | Identifizieren einer verdächtigen Datei, die ihr Alter verbirgt | Identifiziert Dateien, die das angezeigte Alter der Datei ändern. Die Dateien haben verdächtige Eigenschaften und sehen nicht wie installierte Programme aus. | Diese Regel identifiziert Dateien, die das angezeigte Alter der Datei ändern. Die Dateien haben verdächtige Eigenschaften. Sie sind beispielsweise komprimiert, weisen keine Versionsinformationen auf, sind als Systemdatei gekennzeichnet oder importieren verdächtige APIs. Sie weisen keinen für installierte Programme typischen Pfad auf. | ||||
219 | 131291 | 2 | 15 | Identifizieren einer verdächtigen Datei, die sich an einem sicheren Speicherort verbirgt | Identifiziert Dateien an sicheren Speicherorten, beispielsweise in für Systemtreiber reservierten Ordnern. Diese Dateien stimmen nicht mit den anderen Dateien an diesem Speicherort überein und weisen verdächtige Eigenschaften auf. | Diese Regel identifiziert Dateien an gesicherten Speicherorten, beispielsweise in für Systemtreiber reservierten Ordnern. Die Dateien verwenden nicht das native Subsystem und weisen verdächtige Eigenschaften auf, beispielsweise fehlende oder falsche Versionsinformationen oder einen Dateityp, der nicht mit der Erweiterung übereinstimmt. | ||||
220 | 65756 | 1 | 30 | Identifizieren neuer verdächtiger Dateien | Identifiziert Dateien, die neu im System sind und verdächtige Eigenschaften aufweisen, beispielsweise geänderte Abschnittsnamen oder geänderten Code am Einstiegspunkt der Binärdatei. | Diese Regel identifiziert Dateien, deren Erstellungsdatum innerhalb der letzten 30 Tage liegt und die verdächtige Eigenschaften aufweisen. Hierzu zählen geänderte Abschnittsnamen oder geänderter Code am Einstiegspunkt der Binärdatei. | ||||
221 | 262365 | 4 | 30 | Identifizieren neuer verdächtiger Dateien, die bei einer geringen Anzahl von Systemen vorhanden sind | Diese Regel erkennt Dateien, die aus einer nach außen gerichteten Anwendung stammen (einer Netzwerkanwendung, die Dateien herunterlädt). Hierbei handelt es sich um in der Umgebung neu erkannte Dateien, die über verdächtige Eigenschaften und Importfunktionen verfügen. | Diese Regel erkennt Dateien, die aus einer nach außen gerichteten Anwendung stammen (einer Netzwerkanwendung, die Dateien herunterlädt). Die Dateien befinden sich seit weniger als zehn Tagen in der Umgebung und sind auf weniger als einem Prozent der Computer vorhanden. Die Dateien sind nicht mit einem gängigen oder vertrauenswürdigen Zertifikat signiert und haben verdächtige Eigenschaften. Sie sind beispielsweise komprimiert, besitzen keine Ressourcen oder enthalten keine Versionsinformationen. Sie verfügen darüber hinaus über verdächtige Importfunktionen, beispielsweise die Verwendung nativer APIs, die Erstellung von Remote-Threads, die Überprüfung auf Debugger oder die Installation von Mehrschicht-Dienstanbietern. | ||||
222 | 65758 | 1 | 15 | Identifizieren eines verdächtigen Keyloggers, der sich als installiertes Programm tarnt | Erkennt Dateien, die Keylogging-APIs importieren und sich an Speicherorten verbergen, die von einem installierten Programm verwendet werden. Sie weisen verdächtige Eigenschaften auf, beispielsweise sind sie neu im System und verfügen über eine geringe Anzahl von Importen, und sie wirken nicht wie eine legitime Anwendung. | Diese Regel erkennt Dateien, die Keylogging-APIs importieren und sich in Programmdateiordnern oder -unterordnern verbergen. Die Dateien sind nicht als Dienst oder in "Programme hinzufügen/entfernen" registriert. Sie verfügen über Registrierungsschlüssel, die beim Start geladen werden, und weisen verdächtige Eigenschaften wie beispielsweise eine geringe Anzahl von Importen oder portierbare ausführbare Abschnitte auf. | ||||
233 | 65769 | 1 | 30 | Identifizieren verdächtiger Dateien aus dem Internet | Identifiziert Dateien, die von einer nicht vertrauenswürdigen URL stammen. Die Dateien sind bösartig und weisen verdächtige Eigenschaften auf. Sie sind beispielsweise komprimiert, haben ein geringes Alter oder kommen selten vor. | Diese Regel identifiziert Dateien, die von einer nicht vertrauenswürdigen URL stammen. Die Dateien sind bösartig und weisen verdächtige Eigenschaften auf. Sie sind beispielsweise komprimiert, weniger als 15 Tage alt und sind auf weniger als zehn Systemen oder weniger als einem Prozent der Systeme im Unternehmen vorhanden. | ||||
234 | 65770 | 1 | 15 | Identifizieren von Dateien, die ATD als verdächtig meldet | Identifiziert Dateien, die Advanced Threat Defense als verdächtig meldet. | Diese Regel identifiziert Dateien, die Advanced Threat Defense als verdächtig meldet. | ||||
237 | 131309 | 2 | 15 | Ermitteln verdächtiger Dateien, die mit einem widerrufenen Zertifikat signiert sind | Erkennt Dateien, in die ein widerrufenes Zertifikat eingebettet ist. Hierbei handelt es sich um neu erkannte Dateien, die auf einer geringen Anzahl von Systemen gefunden wurden. | Diese Regel erkennt Dateien, in die ein widerrufenes Zertifikat eingebettet ist. Die Dateien befinden sich seit weniger als fünf Tagen in der Umgebung und sind auf weniger als einem Prozent der Computer vorhanden. | ||||
240 | 65776 | 1 | 30 | Identifizieren verdächtiger Dateien mit Eigenschaften, die vornehmlich in Ransomware vorkommen | Identifiziert verdächtige Dateien mit Eigenschaften, die vornehmlich in Ransomware vorkommen und sich an einem ungewöhnlichen Speicherort befinden. | Identifiziert verdächtige Dateien mit Eigenschaften, die vornehmlich in Ransomware vorkommen und sich an einem ungewöhnlichen Speicherort befinden. | ||||
241 | 131313 | 2 | 30 | Identifizieren neuer verdächtiger Dateien, die bei einer geringen Anzahl von Systemen vorhanden sind (v2) | Diese Regel erkennt neue Dateien, die auf einem geringen Prozentsatz von Systemen vorhanden sind und verschiedene Eigenschaften und Systemstandorte aufweisen, die auf verdächtiges Verhalten hindeuten. | Diese Regel erkennt Dateien, die aus einer nach außen gerichteten Anwendung stammen (einer Netzwerkanwendung, die Dateien herunterlädt). Hierbei handelt es sich um in der Umgebung neu erkannte Dateien, die über verdächtige Eigenschaften und Importfunktionen verfügen. | ||||
246 | 65782 | 1 | 30 | Identifizieren neuer verdächtiger Dateien, die bei einer geringen Anzahl von Systemen vorhanden sind (v3) | Diese Regel erkennt neue Dateien, die auf einem geringen Prozentsatz von Systemen vorhanden sind und verschiedene Eigenschaften und Systemstandorte aufweisen, die auf verdächtiges Verhalten hindeuten. | Diese Regel erkennt Dateien, die aus einer nach außen gerichteten Anwendung stammen (einer Netzwerkanwendung, die Dateien herunterlädt). Hierbei handelt es sich um in der Umgebung neu erkannte Dateien, die über verdächtige Eigenschaften und Importfunktionen verfügen. |
HINWEIS: Insgesamt gibt es 51 Regeln, jede mit einem vordefinierten Zustand und einer Zielreputation, die davon abhängen, welche der folgenden Konfigurationen angewendet wird:
- Systeme mit hoher Änderungsrate
- Standardsysteme
- Systeme mit niedriger Änderungsrate
RuleID | Obligatorisch | Status |
1 | WAHR | aktiviert |
2 | WAHR | aktiviert |
4 | WAHR | aktiviert |
10 | WAHR | aktiviert |
11 | WAHR | aktiviert |
12 | WAHR | aktiviert |
20 | WAHR | aktiviert |
35 | WAHR | aktiviert |
50 | WAHR | aktiviert |
55 | WAHR | aktiviert |
57 | FALSCH | ausgewertet |
96 | WAHR | aktiviert |
97 | FALSCH | aktiviert |
98 | FALSCH | aktiviert |
99 | FALSCH | aktiviert |
126 | WAHR | aktiviert |
127 | WAHR | aktiviert |
128 | WAHR | aktiviert |
129 | WAHR | aktiviert |
130 | WAHR | aktiviert |
131 | WAHR | aktiviert |
132 | WAHR | aktiviert |
133 | WAHR | aktiviert |
134 | WAHR | aktiviert |
138 | FALSCH | aktiviert |
139 | WAHR | aktiviert |
140 | WAHR | aktiviert |
151 | WAHR | aktiviert |
152 | FALSCH | ausgewertet |
153 | FALSCH | ausgewertet |
205 | FALSCH | ausgewertet |
206 | FALSCH | ausgewertet |
207 | FALSCH | aktiviert |
208 | FALSCH | aktiviert |
209 | FALSCH | aktiviert |
211 | FALSCH | ausgewertet |
213 | FALSCH | ausgewertet |
214 | FALSCH | aktiviert |
217 | FALSCH | aktiviert |
218 | FALSCH | ausgewertet |
219 | FALSCH | aktiviert |
220 | FALSCH | ausgewertet |
221 | FALSCH | ausgewertet |
222 | FALSCH | aktiviert |
233 | FALSCH | ausgewertet |
234 | FALSCH | aktiviert |
237 | FALSCH | ausgewertet |
240 | FALSCH | ausgewertet |
241 | FALSCH | ausgewertet |
246 | FALSCH | ausgewertet |
RuleID | Obligatorisch | Status |
1 | WAHR | aktiviert |
2 | WAHR | aktiviert |
4 | WAHR | aktiviert |
10 | WAHR | aktiviert |
11 | WAHR | aktiviert |
12 | WAHR | aktiviert |
20 | WAHR | aktiviert |
35 | WAHR | aktiviert |
50 | WAHR | aktiviert |
55 | WAHR | aktiviert |
57 | FALSCH | ausgewertet |
96 | WAHR | aktiviert |
97 | FALSCH | aktiviert |
98 | FALSCH | aktiviert |
99 | FALSCH | aktiviert |
126 | WAHR | aktiviert |
127 | WAHR | aktiviert |
128 | WAHR | aktiviert |
129 | WAHR | aktiviert |
130 | WAHR | aktiviert |
131 | WAHR | aktiviert |
132 | WAHR | aktiviert |
133 | WAHR | aktiviert |
134 | WAHR | aktiviert |
138 | FALSCH | aktiviert |
139 | WAHR | aktiviert |
140 | WAHR | aktiviert |
151 | WAHR | aktiviert |
152 | FALSCH | ausgewertet |
153 | FALSCH | ausgewertet |
205 | FALSCH | ausgewertet |
206 | FALSCH | ausgewertet |
207 | FALSCH | aktiviert |
208 | FALSCH | aktiviert |
209 | FALSCH | aktiviert |
211 | FALSCH | ausgewertet |
213 | FALSCH | ausgewertet |
214 | FALSCH | aktiviert |
217 | FALSCH | aktiviert |
218 | FALSCH | ausgewertet |
219 | FALSCH | aktiviert |
220 | FALSCH | ausgewertet |
221 | FALSCH | ausgewertet |
222 | FALSCH | aktiviert |
233 | FALSCH | ausgewertet |
234 | FALSCH | aktiviert |
237 | FALSCH | ausgewertet |
240 | FALSCH | ausgewertet |
241 | FALSCH | ausgewertet |
246 | FALSCH | ausgewertet |
RuleID | Obligatorisch | Status |
1 | WAHR | aktiviert |
2 | WAHR | aktiviert |
4 | WAHR | aktiviert |
10 | WAHR | aktiviert |
11 | WAHR | aktiviert |
12 | WAHR | aktiviert |
20 | WAHR | aktiviert |
35 | WAHR | aktiviert |
50 | WAHR | aktiviert |
55 | WAHR | aktiviert |
57 | FALSCH | ausgewertet |
96 | WAHR | aktiviert |
97 | FALSCH | aktiviert |
98 | FALSCH | aktiviert |
99 | FALSCH | aktiviert |
126 | WAHR | aktiviert |
127 | WAHR | aktiviert |
128 | WAHR | aktiviert |
129 | WAHR | aktiviert |
130 | WAHR | aktiviert |
131 | WAHR | aktiviert |
132 | WAHR | aktiviert |
133 | WAHR | aktiviert |
134 | WAHR | aktiviert |
138 | FALSCH | aktiviert |
139 | WAHR | aktiviert |
140 | WAHR | aktiviert |
151 | WAHR | aktiviert |
152 | FALSCH | ausgewertet |
153 | FALSCH | ausgewertet |
205 | FALSCH | ausgewertet |
206 | FALSCH | ausgewertet |
207 | FALSCH | aktiviert |
208 | FALSCH | aktiviert |
209 | FALSCH | aktiviert |
211 | FALSCH | ausgewertet |
213 | FALSCH | ausgewertet |
214 | FALSCH | aktiviert |
217 | FALSCH | ausgewertet |
218 | FALSCH | ausgewertet |
219 | FALSCH | aktiviert |
220 | FALSCH | ausgewertet |
221 | FALSCH | ausgewertet |
222 | FALSCH | aktiviert |
233 | FALSCH | ausgewertet |
234 | FALSCH | aktiviert |
237 | FALSCH | ausgewertet |
240 | FALSCH | ausgewertet |
241 | FALSCH | ausgewertet |
246 | FALSCH | ausgewertet |
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: