Konfigurieren des Avert Library Item

  • nP
  • jD

Das Add-on ist erforderlich, um diese Library Itemzu verwenden.

Fügen Sie eine Avert Library Item hinzu

  1. Navigieren Sie in der linken Navigationsleiste zu Bibliothek.

  2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie Avert aus.

  3. Klicken Sie auf Hinzufügen und konfigurieren.

  4. Geben Sie dem neuen Avert Library Item einen Namen.

  5. Ordnen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprints zu.

Allgemeine Einstellungen konfigurieren

Konfigurieren Sie die individuellen Einstellungen für den Malware- und PUP-Statusmodus für Ihre Umgebung.

  1. Geben Sie die gewünschte Statuseinstellung für Schadsoftware an.

  2. Geben Sie die gewünschte Haltungseinstellung für PUP an.

Im Erkennungsmodus werden bekannte schädliche Elemente gescannt und gemeldet. Im Protect-Modus werden bekannte schädliche Elemente gescannt, gemeldet und automatisch unter Quarantäne gestellt.

Konfigurieren von Verhaltenserkennungen

Verhaltenserkennungen sind standardmäßig aktiviert, wenn Sie einen neuen Avert Library Item erstellen und zu Ihrem Library hinzufügen, können aber für bestimmte Workflows deaktiviert werden. Für vorhandene Avert Library Itemsmüssen Verhaltenserkennungen manuell aktiviert werden, um Verhaltensaktivitäten zu überwachen.

Verdächtige Verhaltenserkennungen werden automatisch in der Tabelle "Bedrohungen" mit einem Informationsstatus aufgelistet, um ungewöhnliche Aktivitäten hervorzuheben, die möglicherweise Aufmerksamkeit erfordern. Diese Erkennungen sind so konzipiert, dass sie Transparenz bieten, und ihr Statusmodus kann nicht konfiguriert werden.

  1. Schalten Sie den Schalter um, um Verhaltenserkennungen zu aktivieren

  2. Wählen Sie unter "Bösartiges Verhalten" entweder "Erkennen" oder "Schützen" aus.

    • Der Erkennungsmodus identifiziert und meldet böswillige Verhaltenserkennungen.

    • Der Schutzmodus identifiziert, meldet und blockiert böswillige Verhaltenserkennungen.

      mjW6lPXbGRhAWxlgYYYEwonc65lTMwjhlQ

Benutzer-Benachrichtigungen

Wenn diese Option aktiviert ist, benachrichtigen Benutzerwarnungen Endbenutzer, wenn EDR Malware oder PUPs auf ihren Mac-Computern unter Quarantäne gestellt hat. Benutzerwarnungen sind standardmäßig aktiviert, können aber für bestimmte Workflows deaktiviert werden.

  1. Klicken Sie auf den Kippschalter neben Benutzer benachrichtigen, um Benutzerwarnungen ein- oder auszuschalten.

Endbenutzer können eine Liste der Dateien anzeigen, die auf ihren Mac-Computern unter Quarantäne gestellt wurden, indem sie Self Service öffnen und im linken Navigationsmenü auf Quarantäne klicken.

Konfigurieren von Zulassungs- und Sperrlisten

Zulassungs- und Sperrlisten können verwendet werden, um sicherzustellen, dass bestimmte Dateien oder Anwendungen in Ihrer Umgebung immer zugelassen oder blockiert werden, unabhängig davon, ob eine Datei oder Anwendung in den Bedrohungs-Feeds von Kandji Avert als bösartig bekannt ist oder nicht.

Blockelemente gelten als Schadsoftware und erfordern, dass sich der Schadsoftwarestatus im Schutzmodus befindet, um auf dem Gerät blockiert zu werden.

  1. Klicken Sie auf die Schaltfläche "+ Artikel hinzufügen".

  2. Geben Sie dem Element einen Namen.

  3. Geben Sie den Elementtyp Hash oder Pfad für die Datei oder Anwendung an.

  4. Wenn Pfad ausgewählt wurde, geben Sie den Anwendungs- oder Dateipfad ein. Wenn Hash ausgewählt wurde, geben Sie den Datei-Hash ein.

  5. Wählen Sie Zulassen aus, um eine Datei oder Anwendung zuzulassen. Wählen Sie Blockieren aus, um die Datei oder Anwendung zu blockieren.

  6. Klicken Sie auf Hinzufügen, um das Element der Liste Zulassen und Blockieren hinzuzufügen. Aktivieren Sie optional das Kontrollkästchen "Weiteres Element hinzufügen" in der unteren linken Ecke, bevor Sie auf die Schaltfläche "Hinzufügen" klicken, um weitere Elemente hinzuzufügen.

  7. Klicken Sie auf die Schaltfläche Speichern, um den Library Item Wenden zu speichern.

Hash-Wert ermitteln

Der Elementtyp Hash wird nur für Dateien unterstützt. Der Elementtyp Pfad wird sowohl für Dateien als auch für Anwendungen unterstützt.

Der folgende Befehl kann in Terminal verwendet werden, um den SHA256-Hash-Wert einer Datei zu bestimmen.

shasum -a 256 /path/to/file

Anzeigen von Bearbeitungsdetails im Avert Library Item

Sie können Änderungen an der Avert Library Item auf der Registerkarte "Aktivität" der Library Item oder im Abschnitt "Globale Aktivität" der Kandji Web App überwachen. Hier wird angezeigt, welche Konfigurationen geändert wurden, wie der vorherige Status war und wer die Änderung vorgenommen hat.

  1. Klicken Sie auf Aktivität in Ihrem Avert Bibliothekselement oder im linken Navigationsmenü.

  2. Wählen Sie das Dreiecksymbol neben Library Item Bearbeitet für den Eintrag aus, den Sie überprüfen möchten.

Nächste Schritte

Weitere Informationen finden Sie im Supportartikel – Testen der Malware-Erkennung, um EDR in Aktion zu sehen.