Knowledge Base

Zurück zur Support-Übersicht

TeamViewer Endpoint Protection bietet kontinuierlichen Schutz für Ihre Endpunkte vor allen Arten von Bedrohungen. Managed Detection and Response geht noch einen Schritt weiter, indem es hochpräzise Reaktionen auf Bedrohungen bietet. Durch die Reduzierung der Verweildauer kritischer Bedrohungen und die Bereitstellung einer schnelleren Mean-Time-To-Resolution (MTTR) bietet TeamViewer Endpoint Protection Unternehmen weiterhin Maßnahmen, um Kosten zu sparen, Ausfallzeiten zu reduzieren und die Gesamteffektivität der Bedrohungssuche zu erhöhen.

Dieser Artikel richtet sich an TeamViewer Endpoint Protection-Kunden mit dem MDR-Add-on.

 

Funktionen von Managed Detection and Response

  • Die 24x7x365-Sicherheitsüberwachung nutzt die Endpoint Detection and Response (EDR)-Technologie und menschliches Fachwissen, um die Endpunktaktivität auf verdächtige Ereignisse zu überwachen.
  • Fortschrittliche Bedrohungserkennung mit ausgefeilten Tools und Techniken wie Threat Intelligence und Verhaltensanalyse, um selbst die neuartigsten Bedrohungen zu identifizieren und zu stoppen
  • Bedrohungserkennung und -analyse durch geschulte Sicherheitsexperten, um den Schweregrad und die potenziellen Auswirkungen erkannter Bedrohungen zu ermitteln.
  • Threat Hunting, bei dem Sicherheitsanalysten aktiv nach versteckten Bedrohungen innerhalb des Netzwerks suchen.
  • Flexible Behebungsoptionen stellen sicher, dass das MDR-Team Bedrohungen aktiv beheben kann, sobald sie entdeckt werden, oder bieten IT-Teams aussagekräftige Anleitungen, die sie bei ihren Behebungsbemühungen befolgen können.

Erste Schritte

TeamViewer bestätigt dies über ein Pop-up, sobald der Dienst in Ihrem Konto aktiviert ist. Wählen Sie die Schaltfläche MDR einrichten aus, um mit der Ersteinrichtung fortzufahren.

Richten Sie auf dem nächsten Bildschirm den primären, den Backup- und den alternativen Kontakt ein. Wählen Sie das Dropdown-Menü "Primärer Kontakt" und wählen Sie das gewünschte Mitglied Ihres Unternehmensprofils aus. Wenn nicht automatisch eingegeben, geben Sie die primäre Telefonnummer dieses Kontakts ein.

Anmerkung: Es wird nur der Hauptansprechpartner benötigt. Backup- und alternative Kontakte können bei Bedarf hinzugefügt werden.

Wählen Sie im Abschnitt "Autorisierung der Behebung" aus, ob Sie die verwaltete oder die geführte Behebung von ThreatDown für alle aufgetretenen Bedrohungen bevorzugen möchten:

 

  • Wenn ThreatDown managed ausgewählt ist, werden die Bedrohungen automatisch behoben, ohne dass Neustarts, erneute Imaging oder andere Aufgaben erforderlich sind.
  • Wenn die Option "Geführte Wartung " ausgewählt ist, werden Sie durch die Schritte zum Beheben potenzieller Bedrohungen geführt, einschließlich der Notwendigkeit anderer potenzieller Aufgaben, wie z. B. Neustarts.

Wählen Sie im letzten Abschnitt, Isolationsautorisierung, aus, ob Sie Endpunkte autorisieren, die in Ihrem Namen isoliert werden sollen, wenn eine Sicherheitsreaktion erforderlich ist. Dadurch werden sowohl Workstations als auch Server autorisiert.

Wenn Sie fertig sind, klicken Sie in der oberen rechten Ecke des Bildschirms auf Speichern. Eine Popup-Benachrichtigung gibt an, dass Managed Detection and Response erfolgreich aktiviert wurde.

Hinweis: EDR muss aktiviert werden, bevor Sie versuchen, Managed Detection & Response zu aktivieren. Wenn Sie versuchen, das MDR-Add-on zu aktivieren, bevor Sie Endpoint Detection & Response aktivieren, wird eine Fehlermeldung angezeigt.

So greifen Sie auf das MDR-Portal zu

Das Managed Detection and Response (MDR) Portal verwaltet alle Aspekte des Dienstes. Sie können darauf zugreifen, indem Sie die Schaltfläche Nebula auswählen, die Sie in den Einstellungen oder auf der Registerkarte "Erkennungen" finden. Sobald Sie sich in Nebula befinden, wählen Sie MDR-Portal in der oberen rechten Ecke aus.

Das Managed Detection and Response (MDR)-Portal verwaltet alle Aspekte des Dienstes. Sie können darauf zugreifen, indem Sie den Button Nebula in den Einstellungen oder auf unter Detection auswählen. In Nebula wählen Sie Managed Services, um alle gemeldeten Fälle und Vorfälle zu sehen.

Entdecken Sie das MDR Portal

Das MDR-Portal, das von ThreatDown betrieben wird, ist das Kontroll-Dashboard für Ihre Lizenz. Unter der Registerkarte Managed Services des Portals können Sie alle MDR-Reports einsehen und alle erforderlichen Maßnahmen ergreifen.  

Managed Services ist in zwei Hauptbereiche unterteilt:

Übersicht

Die Registerkarte Übersicht bietet eine zentrale, übersichtliche Zusammenfassung Ihrer Managed Services-Fälle durch eine Sammlung von interaktiven Widgets. Diese Widgets wurden entwickelt, um auf Anhieb einen Einblick in die Fallaktivität zu geben und den Benutzern zu helfen, die Sicherheitslage ihrer Nebula-Umgebung effektiv zu überwachen und zu bewerten. Durch die Darstellung prägnanter und relevanter Daten dient die Registerkarte Übersicht als Ausgangspunkt für das Verständnis von Trends, die Identifizierung von Problembereichen und die Festlegung von Prioritäten für Maßnahmen.

Diese Registerkarte ist besonders nützlich, um bösartige Aktivitäten in Ihrer Umgebung schnell zu erkennen. Sie unterstützt das zeitliche Filtern, so dass Benutzer den Umfang der angezeigten Informationen auf einen bestimmten Zeitraum eingrenzen können. Diese Funktion erleichtert die Analyse von Trends oder die Untersuchung von Vorfällen innerhalb eines bestimmten Zeitrahmens.

Die folgenden Widgets sind auf unter Übersicht verfügbar:

  1. Cases by Stage: Dieses Widget bietet einen allgemeinen Überblick über die Fallaktivität, indem es die Fälle nach ihrem aktuellen Stadium im Lebenszyklus der Vorfallsreaktion kategorisiert. Auf diese Weise können Benutzer den Fortschritt eines Falls verfolgen, z. B. ob er neu eröffnet, untersucht oder gelöst wurde.
  2. Cases by Priority: Dieses Widget zeigt die Anzahl der offenen Fälle gruppiert nach ihrer Prioritätsstufe an. Durch die Hervorhebung der Dringlichkeit der einzelnen Fälle können die Benutzer schnell feststellen, welche Fälle eine hohe Priorität haben und sofortige Aufmerksamkeit erfordern, um sicherzustellen, dass kritische Probleme umgehend angegangen werden.
  3. Top Case Close Reasons: Dieses Widget zeigt die häufigsten Gründe für die Schließung von Fällen an, die von Analysten ermittelt wurden. Die Zusammenfassung dieser Trends bietet wertvolle Einblicke in die wiederkehrenden Faktoren, die zu Fallabschlüssen führen, und hilft den Teams, ihre Reaktionsstrategien zu optimieren und zukünftige Ergebnisse zu verbessern.

Cases

Die Registerkarte Cases auf der Seite Managed Services zeigt eine Liste der offenen Fälle und deren Details an. Die folgenden Informationen sind unter Cases verfügbar:

  • Alerts: Anzahl der mit dem Fall verbundenen Erkennungen.
  • Assigned analyst: Dem Fall zugewiesener Analytiker. 
  • Case name: Erkennung (DE) oder Verdächtige Aktivität (SA), gefolgt vom Endpunktnamen und dem Pfad der Erkennung.
  • Close reason: Grund, aus dem der Analytiker den Fall geschlossen hat.
  • Closed at Zeitpunkt, an dem der Fall geschlossen wurde.
  • Created at: Zeitpunkt, zu dem der Fall geöffnet wurde.
  • Endpoint: Name des Geräts mit den Alarmen.
  • ID: Fall-ID
  • Priority: Dringlichkeit des Falles.
  • Stage: Aktuelle Phase des Falles.
  • Status: Eröffneter oder abgeschlossener Fall.
  • Updated at: Letztes Mal, als der Fall aktualisiert wurde.

So zeigen Sie Case Details an

Um die Details eines MTH-Falls anzuzeigen, klicken Sie auf die ID-Nummer in der Spalte ID. Daraufhin werden die folgenden Informationen angezeigt:

  • Communications & History  

Die Registerkarte Communications & History im Case Details bietet eine umfassende Aufzeichnung der Fallaktivitäten. Dazu gehören die Kommunikation zwischen Analytikern, detaillierte Anweisungen zur Behebung des Problems und ein Protokoll der während der Untersuchung durchgeführten Maßnahmen.  

Um die angezeigten Informationen zu verfeinern, können Sie die Symbole verwenden, um bestimmte Ereignisse zu filtern, z. B. Kommentare, Statusaktualisierungen oder andere wichtige Änderungen, um einen schnellen Zugriff auf die wichtigsten Details zu gewährleisten.  

  • Alerts & Artifacts  

Ein einzelner Fall kann mehrere Alerts umfassen, die oft mehrere miteinander verbundene bösartige Aktivitäten auf demselben Endpunkt darstellen. Diese Alerts werden gruppiert, um die Analyse zu optimieren und den Kontext zu verbessern. Auf der Registerkarte Alerts & Artifacts können Sie die zugehörigen Alerts und zugehörigen Elemente eines Falls überprüfen. Für eine genauere Untersuchung bietet die Schaltfläche Go to detection neben jeder Warnung direkten Zugriff auf die spezifische Erkennung oder verdächtige Aktivität, die mit diesem Fall verbunden ist. 

Wi man eine Anfrage zu einem Case erstellt

Wenn Sie eine Frage zu einem MDR-Fall haben:

  1. Klicken Sie auf  Submit a Request.
  2. Geben Sie die Fallnummer des Cases ein, zu dem Sie eine Frage haben.
  3. Wählen Sie eine Priorität
  4. Geben Sie eine Beschreibung ein
  5. Klicken Sie auf Submit.

Einrichten von Managed Detection and Response zur Optimierung des Schutzes Ihrer Endpunkte

Managed Detection and Response erfordert bestimmte Einstellungen von EDR, um erfolgreich zu funktionieren. Diese Einstellungen finden Sie in den Richtlinieneinstellungen von Endpoint Protection. Um darauf zuzugreifen, navigieren Sie zu den Admin-Einstellungen und wählen Sie unter Geräteverwaltung die Option Richtlinien aus. Wenn Sie bereits eine Richtlinie erstellt haben, können Sie diese bearbeiten. Andernfalls können Sie eine neue Richtlinie erstellen, indem Sie in der Dropdown-Liste Richtlinie die Option Endpoint Protection auswählen. Bitte stellen Sie sicher, dass die folgenden Einstellungen unter dem entsprechenden Betriebssystem aktiv sind:

  1. Überwachung verdächtiger Aktivitäten
  2. Überwachung des Server-Betriebssystems
  3. Endpunkt sperren, wenn er isoliert ist
  4. Ransomware-Rollback

5. Überwachung verdächtiger Aktivitäten

6. Endpunkt sperren, wenn er isoliert ist

So optimieren Sie Bedrohungsscans

Das Scannen von Endpunkten auf potenzielle Bedrohungen ist ein integraler Aspekt des Sicherheitssetups. Wir empfehlen mindestens zwei Arten von Scans:

Wählen Sie Täglich aus der Dropdown-Liste Zeitplan in Allgemein aus. Wählen Sie unter Windows in der Dropdown-Liste Methode die Option Bedrohungsscan aus.

 

Wählen Sie Wöchentlich aus der Dropdown-Liste Zeitplan aus. Legen Sie die Methode auf Benutzerdefinierter Scan fest, und aktivieren Sie Nach Rootkits suchen.

So stellen Sie effiziente Benachrichtigungen sicher

Das Einrichten aller notwendigen Benachrichtigungen ist wichtig, um sicherzustellen, dass Sie und Ihr Team vor potenziellen Bedrohungen wachsam bleiben. Die folgenden Informationen beziehen sich auf Benachrichtigungen, die speziell für Managed Detection and Response gelten.

Anmerkung: Benachrichtigungen werden in der Nebula-Konsole von ThreatDown verwaltet.

Wenn Sie eine neue Benachrichtigung erstellen, wählen Sie Aktivität für verwaltete Dienste aus.  

Es wird empfohlen, einige Bedingungen für den Zeitpunkt des Sendens von Benachrichtigungen hinzuzufügen. So stellen Sie sicher, dass Ihre Administratoren nicht mit Nachrichten überlastet werden, die nicht ihre Aufmerksamkeit erfordern.

Wählen Sie die einzelnen Feldoptionen unten aus, um die verfügbaren Werte anzuzeigen:

ist gleich

  • Alle
  • Fall erstellt
  • Aktualisierter Fall
  • Fall geschlossen

ist gleich

  • Alle
  • Kritisch
  • Hoch
  • Mittel
  • Niedrig

ist gleich

  • STIMMT
  • FALSCH

Wählen Sie im nächsten Abschnitt aus, wie die Benachrichtigungen gesendet werden sollen. Zusätzlich zu den E-Mails können Sie auswählen, ob Sie über Slack/Microsoft Teams, Webhook oder die ThreatDown Admin-App benachrichtigt werden möchten.

Im letzten Schritt kann die Aggregation aktiviert werden, wodurch die erhaltenen Benachrichtigungen reduziert und eine stärkere Fokussierung ermöglicht wird. Dadurch werden mehrere Warnungen in einzelnen Benachrichtigungen konsolidiert, die auf dem von Ihnen ausgewählten Intervall und der Gruppierungsoption sowie den zuvor ausgewählten Aktivitätstypen, Bedingungen und Übermittlungsmethoden basieren.

Wählen Sie in der unteren rechten Ecke Abschließen aus, um die neue Benachrichtigung zu speichern.