Wenn eine Schutzverletzung gegen Systemzugriffspunkte stattfindet, hängt die eingeleitete Aktion davon ab, wie die entsprechende Regel konfiguriert wurde.
Für die Regel können folgende Aktionen konfiguriert werden:
Stellen Sie anhand der Daten in der Protokolldatei fest, welche Systemzugriffspunkte verletzt wurden und mithilfe welcher Regeln die Verletzung jeweils entdeckt wurde. Konfigurieren Sie anschließend die Zugriffsschutzregeln so, dass Benutzer auf zulässige Elemente zugreifen können, der Zugriff auf geschützte Elemente jedoch verweigert wird.
Folgende Szenarien helfen Ihnen bei der Entscheidung einer geeigneten Aktion.
| Entdeckungstyp
| Szenarien
|
| Unerwünschte Prozesse |
- Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keine Blockierung stattgefunden hat, wählen Sie für diese Regel die Option Blockieren aus.
- Wenn die Regel eine Blockierung ausgelöst hat, die Schutzverletzung jedoch nicht in der Protokolldatei aufgezeichnet wurde, wählen Sie für diese Regel die Option Melden aus.
- Wenn die Schutzverletzung durch die Regel blockiert und in der Protokolldatei aufgezeichnet wurde, ist keine Aktion notwendig.
- Wenn Sie feststellen, dass ein unerwünschter Prozess nicht entdeckt wurde, können Sie die Regel bearbeiten und den zu entdeckenden Prozess als blockiert einbeziehen.
|
| Zulässige Prozesse |
- Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keine Blockierung stattgefunden hat, entfernen Sie für diese Regel die Option Melden.
- Wenn die Schutzverletzung blockiert oder in der Protokolldatei aufgezeichnet wurde, bearbeiten Sie die Regel dahingehend, dass sie den zulässigen Prozess von der Blockierung ausschließt.
|
|