Neu in 2022.5: Neuer EDR-Bereich zur Bedrohungssuche

Die EDR-Lösung von Emsisoft bietet nun einen neuen Bereich zur Bedrohungssuche und verfügt mit osquery, der ersten Komponente darin, über einen der leistungsstärksten Frameworks zu diesem Zweck.

Was ist osquery?

osquery ist eine Open-Source-Schnittstelle zum Abfragen von IoCs (Indicators of Compromise), mit der Sie bequem wie bei einer SQL-Datenbank Informationen von Endpunkten abrufen können. Sie müssen also nicht mehr etliche Systemtools parallel ausführen, um wichtige Daten hinsichtlich möglicher Bedrohungen zu erhalten. Mit dem neuen Emsisoft-Bereich zur Bedrohungssuche können Sie sogar binnen Sekunden alle Geräte innerhalb Ihres Netzwerks auf einmal abfragen, was das Erkennen und Beseitigen von Bedrohungen so leicht und schnell wie nie macht.

Bei der Bedrohungssuche geht es darum, Endpunkte auf Aktivitäten und Änderungen zu überprüfen, die es eigentlich nicht geben sollte. Als Sicherheitsanalytiker müssen Sie auf der Suche nach möglicherweise bösartigen Aktivitäten ungewöhnliches aus dem allgemeinen Aufkommen gewöhnlicher Aktivitäten herausfiltern können. Dieser neue Bereich hilft Ihnen dabei, genau das zu tun.

Vorgefertigte Abfragen nach IoCs

Der neue Bereich bietet bereits eine Reihe von einsatzbereiten Abfragen, die für die Bedrohungssuche optimiert wurden. Sie können diese auch an Ihre Anforderungen anpassen und zur wiederholten Verwendung speichern.

Beispiele für IoCs:

• Überprüfen Sie, welche Netzwerkports offen sind und von welchen Prozessen sie geöffnet wurden, wobei Sie reguläre Browseraktivitäten herausfiltern können.
• Überprüfen Sie, bei welchen aktiven Prozessen die zugehörige .exe-Datei von der Festplatte entfernt wurde.
• Überprüfen Sie, welche Dateien sich in den Download-Ordnern auf Ihren Geräten befinden.
• Lassen Sie sich alle Programme anzeigen, die beim Systemstart automatisch gestartet werden.
• Lassen Sie sich alle ausgeführten Dienste anzeigen.
• Überprüfen Sie, welche Prozesse den meisten Speicher in Anspruch nehmen.
• Überprüfen Sie alle von Benutzern installierten und selbstsignierten Zertifikate.
• Lassen Sie sich alle geplanten Aufgaben anzeigen.
• Lassen Sie sich alle in Chrome, Firefox und Edge installierten Programm- und Browsererweiterungen anzeigen.
• Überprüfen Sie den DNS-Cache und die Hostdatei auf verdächtige Hosts.
• Überprüfen Sie den Status von Systemfunktionen wie BitLocker, Windows Defender Firewall und Windows-Sicherheitscenter.
• Rufen Sie allgemeine Informationen über das Betriebssystem ab, wie Buildversion, installierte Patches, Betriebszeit usw.

Die Abfragen werden in Echtzeit auf allen Geräten ausgeführt, die online sind, und die Ergebnisse binnen Sekunden angezeigt.

Verfügbarkeit

Die neue Funktion zur Bedrohungssuche ist ausschließlich für Benutzer von Emsisoft Enterprise Security verfügbar.

Emsisoft-Lizenzpläne hier vergleichen

Hinweis: Sollten Sie Benutzer von Emsisoft Anti-Malware Home bzw. Emsisoft Business Security sein oder eine ältere Version von Emsisoft Anti-Malware haben, aber dennoch die neuen Funktionen zur Bedrohungssuche nutzen möchten, wäre eventuell ein Upgrade auf Emsisoft Enterprise Security erwägenswert. Rufen Sie den Bereich „Einstellungen“ in Ihrem Workspace auf, um verfügbare Upgrade-Optionen einzusehen, oder wenden Sie sich an unseren Support.

Alle Verbesserungen in 2022.5

Geräteschutz (Desktop)

• Verschiedene kleine Verbesserungen und Fehlerkorrekturen

Verwaltungskonsole (Web-Anwendung)

• Neu: EDR-Bereich zur Bedrohungssuche
• Verbessert: Dialog zur Bereitstellung Neu: Unterstützung für CMD und PowerShell v5/v7
• Verschiedene kleine Verbesserungen und Fehlerkorrekturen

Wie erhalten Sie die neue Version?

Wenn in Ihrem Programm automatische Updates aktiviert sind, erhalten Sie die aktuelle Version wie immer automatisch während der geplanten Updates (standardmäßig auf stündlich eingestellt).

Hinweis für Unternehmensanwender: Sollten Sie den Update-Feed in den Einstellungen für Ihre Clients auf „Verzögert“ gesetzt haben, erhalten Sie die neue Softwareversion frühestens 30 Tage nach Verfügbarkeit der regulären „Stabil“-Version. Dadurch haben Sie genug Zeit, um vor der automatischen Bereitstellung einer neuen Version auf allen Clients zunächst interne Kompatibilitätstests durchzuführen.

Wir wünschen eine grandiose und gut geschützte Zeit.

Übersetzung: Doreen Schäfer