TeamViewer Endpoint Protection bietet kontinuierlichen Schutz für Ihre Endpunkte vor allen Arten von Bedrohungen. Managed Detection and Response geht noch einen Schritt weiter, indem es hochpräzise Reaktionen auf Bedrohungen bietet. Durch die Reduzierung der Verweildauer kritischer Bedrohungen und die Bereitstellung einer schnelleren Mean-Time-To-Resolution (MTTR) bietet TeamViewer Endpoint Protection Unternehmen weiterhin Maßnahmen, um Kosten zu sparen, Ausfallzeiten zu reduzieren und die Gesamteffektivität der Bedrohungssuche zu erhöhen.
Dieser Artikel richtet sich an TeamViewer Endpoint Protection-Kunden mit dem MDR-Add-on.
TeamViewer bestätigt dies über ein Pop-up, sobald der Dienst in Ihrem Konto aktiviert ist. Wählen Sie die Schaltfläche MDR einrichten aus, um mit der Ersteinrichtung fortzufahren.
Richten Sie auf dem nächsten Bildschirm den primären, den Backup- und den alternativen Kontakt ein. Wählen Sie das Dropdown-Menü "Primärer Kontakt" und wählen Sie das gewünschte Mitglied Ihres Unternehmensprofils aus. Wenn nicht automatisch eingegeben, geben Sie die primäre Telefonnummer dieses Kontakts ein.
Wählen Sie im Abschnitt "Autorisierung der Behebung" aus, ob Sie die verwaltete oder die geführte Behebung von ThreatDown für alle aufgetretenen Bedrohungen bevorzugen möchten:
Wählen Sie im letzten Abschnitt, Isolationsautorisierung, aus, ob Sie Endpunkte autorisieren, die in Ihrem Namen isoliert werden sollen, wenn eine Sicherheitsreaktion erforderlich ist. Dadurch werden sowohl Workstations als auch Server autorisiert.
Wenn Sie fertig sind, klicken Sie in der oberen rechten Ecke des Bildschirms auf Speichern. Eine Popup-Benachrichtigung gibt an, dass Managed Detection and Response erfolgreich aktiviert wurde.
Das Managed Detection and Response (MDR) Portal verwaltet alle Aspekte des Dienstes. Sie können darauf zugreifen, indem Sie die Schaltfläche Nebula auswählen, die Sie in den Einstellungen oder auf der Registerkarte "Erkennungen" finden. Sobald Sie sich in Nebula befinden, wählen Sie MDR-Portal in der oberen rechten Ecke aus.
Das MDR-Portal ist der Ort, an dem alle von MDR erkannten Bedrohungen eingesehen werden können. Dazu gehören Bedrohungen, für die keine Benutzeraktion erforderlich ist, und Bedrohungen, für die dies erforderlich ist (gekennzeichnet durch ein TR rechts neben der Bedrohung).
Wenn Sie eine zusätzliche Aktion ausführen müssen, z. B. das Gerät neu starten, können Sie auf die Gehäusewand zugreifen. Mit den folgenden Filtern können Sie nur Nachrichten anzeigen, herausfinden, was getan werden muss, und antworten.
Um zu den anderen Bereichen des MDR-Portals zu navigieren, verwenden Sie das Menü in der oberen linken Ecke.
Das Dashboard enthält einen schnellen Überblick über alle Geräte und Bedrohungen, einschließlich einer Übersicht über Berichte, die von einem Monat bis zu mehr reichen. Dies bietet auch einen Status aller Fälle, Warnungen und Vorfälle in der Umgebungszusammenfassung
Ihre Arbeitsmappe ist eine einfache Übersicht über alle Fälle, in denen Ihre Unterstützung für zusätzliche Aktionen erforderlich ist. Darüber hinaus werden hier die zuvor bereitgestellten Berichte zu allen Bedrohungen angezeigt.
Anfragen ermöglichen es den Nutzern, direkt mit dem MDR-Team zu sprechen, das ihre Geräte bewertet. Dies kann genutzt werden, um allgemeine Fragen zu stellen oder sich nach bereits abgeschlossenen Fällen zu erkundigen.
Managed Detection and Response erfordert bestimmte Einstellungen von EDR, um erfolgreich zu funktionieren. Diese Einstellungen finden Sie in den Richtlinieneinstellungen von Endpoint Protection. Um darauf zuzugreifen, navigieren Sie zu den Admin-Einstellungen und wählen Sie unter Geräteverwaltung die Option Richtlinien aus. Wenn Sie bereits eine Richtlinie erstellt haben, können Sie diese bearbeiten. Andernfalls können Sie eine neue Richtlinie erstellen, indem Sie in der Dropdown-Liste Richtlinie die Option Endpoint Protection auswählen. Bitte stellen Sie sicher, dass die folgenden Einstellungen unter dem entsprechenden Betriebssystem aktiv sind:
5. Überwachung verdächtiger Aktivitäten
6. Endpunkt sperren, wenn er isoliert ist
Das Scannen von Endpunkten auf potenzielle Bedrohungen ist ein integraler Aspekt des Sicherheitssetups. Wir empfehlen mindestens zwei Arten von Scans:
Wählen Sie Täglich aus der Dropdown-Liste Zeitplan in Allgemein aus. Wählen Sie unter Windows in der Dropdown-Liste Methode die Option Bedrohungsscan aus.
Wählen Sie Wöchentlich aus der Dropdown-Liste Zeitplan aus. Legen Sie die Methode auf Benutzerdefinierter Scan fest, und aktivieren Sie Nach Rootkits suchen.
Das Einrichten aller notwendigen Benachrichtigungen ist wichtig, um sicherzustellen, dass Sie und Ihr Team vor potenziellen Bedrohungen wachsam bleiben. Die folgenden Informationen beziehen sich auf Benachrichtigungen, die speziell für Managed Detection and Response gelten.
Wenn Sie eine neue Benachrichtigung erstellen, wählen Sie Aktivität für verwaltete Dienste aus.
Es wird empfohlen, einige Bedingungen für den Zeitpunkt des Sendens von Benachrichtigungen hinzuzufügen. So stellen Sie sicher, dass Ihre Administratoren nicht mit Nachrichten überlastet werden, die nicht ihre Aufmerksamkeit erfordern.
Wählen Sie die einzelnen Feldoptionen unten aus, um die verfügbaren Werte anzuzeigen:
ist gleich
ist gleich
ist gleich
Wählen Sie im nächsten Abschnitt aus, wie die Benachrichtigungen gesendet werden sollen. Zusätzlich zu den E-Mails können Sie auswählen, ob Sie über Slack/Microsoft Teams, Webhook oder die ThreatDown Admin-App benachrichtigt werden möchten.
Im letzten Schritt kann die Aggregation aktiviert werden, wodurch die erhaltenen Benachrichtigungen reduziert und eine stärkere Fokussierung ermöglicht wird. Dadurch werden mehrere Warnungen in einzelnen Benachrichtigungen konsolidiert, die auf dem von Ihnen ausgewählten Intervall und der Gruppierungsoption sowie den zuvor ausgewählten Aktivitätstypen, Bedingungen und Übermittlungsmethoden basieren.
Wählen Sie in der unteren rechten Ecke Abschließen aus, um die neue Benachrichtigung zu speichern.