Trend Vision One von Trend Micro stellte eine zentral verwaltete, einheitliche Sicherheitsl\u00f6sung dar, mit der sich Unternehmensumgebungen verwalten lassen. Der Hersteller verfolgt mit dem Produkt das Ziel, Silos aufzubrechen und ein \u00fcbergreifendes Werkzeug zur Verf\u00fcgung zu stellen, das es IT-Verantwortlichen erm\u00f6glicht, Risiken zu bewerten und zu identifizieren. Dar\u00fcber hinaus ist das Produkt auch dazu in der Lage, die im Netz vorhandenen Aktivposten zu inventarisieren und in Cloud-Infrastrukturen, Netzwerken, Servern, Endpoints und E-Mails Bedrohungen zu finden und zu bek\u00e4mpfen. Die L\u00f6sung konnte in unserem Testlabor ihre Leistungsf\u00e4higkeit unter Beweis stellen.<\/p>\n\n\n\n Trend Vision One l\u00e4sst sich sowohl zum Attack Surface Management (ASM), als auch f\u00fcr Extended Detection and Response (XDR) nutzen. Die Konfiguration und die \u00dcberwachung der L\u00f6sung finden \u00fcber eine Cloud-basierte Konsole statt. Im Betrieb verteilen die Administratoren die Agenten zum Schutz der einzelnen Komponenten auf die Rechner im Netz. Das k\u00f6nnen sowohl interne Assets, als auch Ger\u00e4te, die aus dem Internet erreichbar sind, sein. Die Security-Produkte laufen dann auf den einzelnen Systemen und sorgen nicht nur mit Funktionen wie Antivirus und Firewall f\u00fcr deren Sicherheit, sondern sammeln auch Informationen und Telemetriedaten, die sie dann wiederum dem zentralen Managementwerkzeug zur Verf\u00fcgung stellen. Dort werden sie mit Daten aus globalen Threat-Intelligence-Feeds und Drittanbieterinformationen kombiniert, um ein m\u00f6glichst vollst\u00e4ndiges Bild zu erhalten.<\/p>\n\n\n\n Die IT-Verantwortlichen haben anschlie\u00dfend die Option, die Daten auszuwerten und einen Risikoindex mit XDR-Erkennungen, kompromittierten Konten, Vulnerabilities, Fehlkonfigurationen und \u00c4hnlichem zu erstellen. Dieser l\u00e4sst sich bei Bedarf an verschiedene Zielgruppen wie CEOs und CSOs anpassen und es besteht sogar die M\u00f6glichkeit, Vergleiche zu anderen Organisationen zu ziehen.<\/p>\n\n\n\n Abgesehen davon lassen sich die Risiken auch automatisch priorisieren und automatische Reaktionen auf erkannte Bedrohungen und Risiken definieren. Um eine breite Perspektive und einen erweiterten Kontext zur Verf\u00fcgung zu stellen, kommen sowohl Machine-Learning-Funktionen, als auch fortgeschrittene Sicherheitsanalysen zum Einsatz.<\/p>\n\n\n\n Da alle Daten im Unternehmen von der gleichen Plattform gesammelt und verarbeitet werden, kommt es zu keinen ineffektiven Daten\u00fcbertragungen zwischen Drittanbieterl\u00f6sungen und alle Informationen sind stets vollst\u00e4ndig und konsistent. IT-Verantwortliche erhalten demzufolge s\u00e4mtliche Informationen und Werkzeuge, die sie ben\u00f6tigen, um ihre Umgebungen bestm\u00f6glich abzusichern und die Zahl der False Positives zu minimieren.<\/p>\n\n\n\n Im Betrieb \u00fcbernimmt Trend Vision One folglich nicht nur die pausenlose Bedrohungserkennung, sondern liefert auch st\u00e4ndig intelligente Empfehlungen dar\u00fcber, wie die Administratoren mit den gefundenen Bedrohungen umgehen sollten. Bei s\u00e4mtlichen zur Verf\u00fcgung stehenden Informationen besteht zudem die M\u00f6glichkeit, in die Tiefe zu gehen und beispielsweise Vulnerabilities oder auch einzelne Assets im Detail zu analysieren, auch \u00fcber den Zeitverlauf hinweg. Auf diese Art und Weise l\u00e4sst sich der gesamte Ablauf eines Angriffs visualisieren.<\/p>\n\n\n\n Die Inbetriebnahme der L\u00f6sung<\/strong><\/p>\n\n\n\n Da Trend Micro seinen Kunden f\u00fcr die Inbetriebnahme der L\u00f6sung einen IT-Spezialisten aus eigenem Hause oder von einem Partnerunternehmen zur Verf\u00fcgung stellt, l\u00e4uft der genannte Vorgang ziemlich reibungslos ab. Im Test wurden wir zun\u00e4chst aufgefordert, unter https:\/\/resources.trendmicro.com\/vision-one-trial-de.html<\/a> einen Test-Account anzulegen. Danach war es erforderlich, die Region f\u00fcr das zu verwendende Rechenzentrum festzulegen, im Test w\u00e4hlten wir zu diesem Zeitpunkt \u201cDeutschland\u201d aus. Anschlie\u00dfend wurde die Konsole erstellt, was ein paar Minuten in Anspruch nahm.<\/p>\n\n\n\n Nach dem ersten Login bei der Management-Konsole startete zun\u00e4chst einmal ein Assistent, der die Anwender auf die wichtigsten Punkte hinweist. Da wir Support direkt von Trend Micro hatten, lie\u00dfen wir diesen Assistenten zu diesem Zeitpunkt links liegen und gingen stattdessen direkt daran, die ben\u00f6tigten Produktinstanzen zu erstellen. Dazu wechselten wir nach \u201cService Management \/ Product Instance\u201d und erzeugten Instanzen zum Endpoint-Schutz f\u00fcr Clients sowie f\u00fcr Server und Workloads.<\/p>\n\n\n\n Im n\u00e4chsten Schritt ging es an die Erstellung und Installation der Agentensoftware f\u00fcr die Endpoints. Dazu gingen wir nach \u201cEndpoint Security Operations \/ Endpoint Inventory\u201d und erstellten dort zwei Pakete, eines f\u00fcr Windows Clients und eines f\u00fcr Windows Server. An sonstigen Betriebssystemen unterst\u00fctzt Trend Vision One auch macOS bei den Standard-Endpoints und Linux bei den Servern. Bei Bedarf ist es auch m\u00f6glich, nur Sensoren im Netz zu verteilen, die keine Schutzfunktionen mitbringen und nur Daten sammeln, beispielsweise zum \u00dcberwachen von Office 365, von mobilen Ger\u00e4ten und \u00c4hnlichem.<\/p>\n\n\n\n Die Verteilung der Software erfolgt dann im Betrieb entweder manuell, oder \u00fcber eine Deployment-L\u00f6sung. Wir spielten den Agenten auf unseren Clients unter Windows 10 und 11 sowie auf unseren Servern unter Windows Server 2019 ein. Das System l\u00e4sst sich dabei auch so konfigurieren, dass die Agenten bei der Installation auch gleich die Policy mit laden.<\/p>\n\n\n\n F\u00fcr unsere Policy verwendeten wir im Test die Trend-Micro-Vorlage \u201cBest Practice\u201d. Diese stellt nach Angaben des Herstellers zwar nicht den h\u00f6chsten Sicherheitsstandard dar, liefert aber eine gute Grundsicherheit und erzeugt im Netz keine Probleme. Es ergibt deswegen Sinn, sie nach Neuinstallationen zun\u00e4chst einmal in Betrieb zu nehmen und sie dann nach Bedarf nachzusch\u00e4rfen. Im Test gingen wir genauso vor und aktivierten zus\u00e4tzlich noch die Intrusion Prevention, das Integrity Monitoring und die Log Inspection.<\/p>\n\n\n\n Als das erledigt war, wechselten wir nach \u201cAdministration\u201d und erzeugten einen Scheduled-Task, der die Software alle zw\u00f6lf Stunden \u00fcber den Trend-Micro-ActiveUpdate-Server aktualisierte. Zum Schluss wiesen wir unsere Policies noch den Endpoints zu. Daraufhin nahm die Agentensoftware ihre Arbeit auf.<\/p>\n\n\n\n Im Betrieb fand sie zun\u00e4chst einmal diverse infizierte Dateien und Fehlkonfigurationen in Bezug auf Konten und Ger\u00e4te bei uns im Netz. Wir l\u00f6sten diese Probleme dadurch, dass wir die betroffenen Dateien entfernten und die Konfigurationen entsprechend der Trend-Micro-Empfehlungen und unserer Anforderungen anpassten.<\/p>\n\n\n\n Nachdem die gefundenen Probleme gel\u00f6st waren, gingen wir zum n\u00e4chsten Schritt \u00fcber. In unserem Testlabor verwendeten wir ein On-Premises-Active-Directory, das wir mit seinen Daten gerne in die Trend-Vision-One-Umgebung integrieren wollten. Dazu mussten wir einen so genannten Service Gateway bei uns im Netz einrichten, der unter anderem die Aufgabe \u00fcbernahm, die Verbindung zwischen dem lokalen Active Directory und der Cloud herzustellen. Dazu steht unter \u201cWorkflow and Automation\u201d der Punkt \u201cService Gateway Management\u201d zur Verf\u00fcgung. Dort l\u00e4sst sich eine Virtuelle Maschine (VM) f\u00fcr die Hypervisoren \u201cVmware ESXi\u201d oder \u201cMicrosoft Hyper-V\u201d herunterladen. Im Test verwendeten wir die Vmware-Version, die wir auf einem ESXi-8.0-Update-1-System ans Laufen brachten. Der Hersteller empfiehlt f\u00fcr die bei uns verwendete Konfiguration \u00fcbrigens den Einsatz von vier virtuellen CPUs und acht Gbyte Speicher.<\/p>\n\n\n\n Nachdem die VM, die auf Centos 7 basiert, hochgefahren war, konnten wir uns mit den Standard-Credentials \u201cadmin\/V1SG@2021\u201d bei dem System anmelden. Danach mussten wir zun\u00e4chst einmal ein neues Passwort vergeben und fanden uns anschlie\u00dfend auf einer Kommandozeile wieder. Um in den Konfigurationsmodus zu gelangen, mussten wir den Befehl \u201cenable\u201d eingeben. Danach konnten wir \u2013 ebenfalls \u00fcber die Kommandozeile \u2013 die Netzwerkkonfiguration vornehmen, den Hostnamen setzen und mit dem Befehl \u201cconnect\u201d die Internetanbindung \u00fcberpr\u00fcfen. Danach war es noch erforderlich, die VM mit Hilfe eines Tokens, das uns \u00fcber das Web-basierte Managementwerkzeug zur Verf\u00fcgung gestellt worden war, zu registrieren. Nach dem Abschluss dieses Vorgangs, der in der Beschreibung komplizierter klingt, als er in Wirklichkeit war, ist der Service Gateway einsatzbereit.<\/p>\n\n\n\n Im Test wechselten wir jetzt nach \u201cWorkflow and Automation \/ Third Party Integration \/ Active Directory (on-premises)\u201d und aktivierten die entsprechende Funktion. Anschlie\u00dfend legten wir die Synchronisierungsfrequenz fest und verbanden das System mit unseren Active-Directory-Servern. Nach einem Verbindungstest und einem Klick auf \u201cConnect\u201d und \u201cSave\u201d konnten Trend Vision One und unser lokales Active Directory miteinander kommunizieren und beispielsweise Benutzerdaten austauschen.<\/p>\n\n\n\n Weitere Daten in Trend Vision One einbinden<\/strong><\/p>\n\n\n\n Neben der Daten\u00fcbermittlung aus dem Active Directory durch die eben geschilderte Integration \u2013 beispielsweise f\u00fcr das Risk Assessment \u2013 lassen sich auch noch die Windows Event Logs der Active-Directory-Controller an Trend Vision One \u00fcbermitteln. Die Daten erscheinen dann im System als Detection Logs und reichern die XDR Workbenches und Observed Attack Techniques an.<\/p>\n\n\n\n Um diese Log-\u00dcbermittlung zu aktivieren, wechselten wir im Test zun\u00e4chst nach \u201cWorkflow and Automation \/ Service Gateway Management\u201d und klickten dort auf \u201cManage API Key\u201d. Dann kopierten wir den bereits erzeugten Key in eine Textdatei und verschoben diese auf unseren Active-Directory-Server. Anschlie\u00dfend gingen wir nach \u201cWorkflow and Automation \/ Third Party Integration \/ Active Directory (on-premises)\u201d und selektierten den Reiter \u201cSecurity Event Forwarding\u201d. Dort konnten wir den Installer f\u00fcr den entsprechenden Agenten (zum Testzeitpunkt war Version 1.0.0.10032 aktuell) herunterladen und auf dem Active-Directory-Server ausf\u00fchren. <\/p>\n\n\n\n Nach dem Abschluss der Installation mussten wir den Agenten nur noch konfigurieren. Dazu teilten wir ihm die Adresse des Service Gateway mit und kopierten den API Key in das dazugeh\u00f6rige Dialogfeld. Nach einem kurzen Verbindungstest, der positiv verlief, klickten wir auf \u201cConnect\u201d und die Verbindung kam zustande. Zum Abschluss mussten wir nur noch im Web-Interface auf dem Reiter \u201cSecurity Event Forwarding\u201d die automatischen Updates aktivieren, danach war das System betriebsbereit.<\/p>\n\n\n\n Simulierte und andere Angriffe<\/strong><\/p>\n\n\n\n Ungew\u00f6hnlich ist, dass Trend Micro den Anwendern Demo-Skripts zur Verf\u00fcgung stellt, mit denen sie testen k\u00f6nnen, wie Trend Vision One auf erkannte Angriffe reagiert. Die Simulationen beziehen sich auf die Bereiche \u201cWorkbench\u201d und \u201cObserved Attack Techniques\u201d. Hier finden sich jeweils die Eintr\u00e4ge \u201cEndpoint Attack Szenario\u201d, \u201cNetwork Attack Szenario\u201d und \u201cEmail Attack Szenario\u201d. Im Test lie\u00dfen wir zu diesem Zeitpunkt den Endpoint-Angriff laufen. Dieser simuliert den Vorgang, den SAM-Hive aus der Windows Registry auszulesen und die NTDS-Datei zu kopieren. Kurz nachdem wir das Demo-Skript mit dem Angriff \u2013 das wir zuvor von Trend Micro heruntergeladen hatten \u2013 auf dem Client ausgef\u00fchrt hatten, erschienen die erkannten Angriffe wie erwartet in der Workbench-App im Web-Interface. Das System funktionierte also einwandfrei. Auf die Workbench-App gehen wir im sp\u00e4teren Testverlauf noch genauer ein.<\/p>\n\n\n\n Im Test beschr\u00e4nkten wir uns zu diesem Zeitpunkt allerdings nicht auf die Demo-Skripts des Herstellers, sondern verwendeten diverse Sicherheitswerkzeuge, wie beispielsweise Metasploit, um Daten aus den von Trend Micro gesch\u00fctzten Testsystemen auszulesen. Auch hier wurden wir nach k\u00fcrzester Zeit im Web-Interface der L\u00f6sung wegen der laufenden Angriffe gewarnt.<\/p>\n\n\n\n Der Leistungsumfang des Verwaltungswerkzeugs<\/strong><\/p>\n\n\n\n Gehen wir jetzt einmal genauer auf den Leistungsumfang des Management-Tools ein, um einen \u00dcberblick \u00fcber den Funktionsumfang von Trend Vision One zu erhalten. Nach dem Login landet der Administrator in einem Dashboard, das ihm einen \u00dcberblick \u00fcber den aktuellen Risk Index seiner Umgebung bietet. Dieser setzt sich aus verschiedenen Risikofaktoren zusammen, zu denen unter anderem die Sicherheitskonfiguration des Netzwerks und das Angriffsrisiko geh\u00f6ren. Ausgehend von dieser Information sind die zust\u00e4ndigen Mitarbeiter dann dazu in der Lage, Ma\u00dfnahmen zu treffen, die das Sicherheitsniveau verbessern.<\/p>\n\n\n\n An gleicher Stelle finden sich noch diverse andere \u00dcbersichten. Der \u201cExposure Index\u201d zeigt Verwundbarkeiten und Fehlkonfigurationen und setzt sie in Relation zu den Verh\u00e4ltnissen in anderen Organisationen. Hier finden die Administratoren beispielsweise heraus, wie lang es im Durchschnitt dauert, bis Patches im Unternehmen und im globalen Durchschnitt eingespielt wurden und wieviel Prozent der Endpoints CVEs enthalten, die ausgenutzt werden k\u00f6nnten, auch hier wieder in Bezug auf das Unternehmen und die weltweite Situation.<\/p>\n\n\n\n Die \u201cAttack Overview\u201d informiert im Gegensatz dazu \u00fcber die erfolgten Angriffe. Dazu geh\u00f6ren beispielsweise gefundene Viren, Privilegeskalationen oder auch laterale Bewegungen. Die \u201cSicherheitskonfiguration\u201d gibt wiederum Aufschluss \u00fcber den Status der Endpoint Protection im Unternehmen. Hier sehen die zust\u00e4ndigen Mitarbeiter, ob die Agenten-Software auf ihren Ger\u00e4ten aktuell ist und welche Funktionen \u2013 wie beispielsweise Behaviour Monitoring oder Firewall \u2013 aktiviert wurden.<\/p>\n\n\n\n Die \u201cAttack Surface Discovery\u201d zeigt die im Unternehmen vorhandenen Ger\u00e4te und erm\u00f6glicht es auch, auf Ger\u00e4teeintr\u00e4ge in der Liste zu wechseln und Detailinformationen zu den einzelnen Devices abzurufen. Dazu geh\u00f6ren unter anderem das \u201cRisc Assessment\u201d und die auf dem Ger\u00e4t sichtbaren Nutzerkonten. Abgesehen davon liefert die Attack Surface Discovery unter anderem auch Informationen \u00fcber Assets und die auf dem jeweiligen System genutzten Cloud-Applikationen.<\/p>\n\n\n\n Das \u201cOperations Dashboard\u201d gibt Tipps zum Verringern des Risikoindex. Dazu werden die Risikofaktoren kategorisiert, um einen besseren Einblick in die verwundbaren Ger\u00e4te, Anwendungen und Cloud Apps zu geben. Die Tipps zeigen dann in der Praxis beispielsweise, wie die Agentensoftware auf den Endpoints im Idealfall konfiguriert sein sollte.<\/p>\n\n\n\n Die Liste der Risikofaktoren umfasst alle gefundenen Probleme, wie Fehlkonfigurationen bei Administratorkonten, fehlerhafte Systemkonfigurationen, erkannte Angriffe und \u00c4hnliches in Listenform mit Tipps, wie sie sich beheben lassen. Das ist sehr n\u00fctzlich, um die Umgebung schnell abzusichern.<\/p>\n\n\n\n Die anderen Bereiche der Verwaltungsoberfl\u00e4che sind \u00fcber Men\u00fcpunkte auf der linken Fensterseite erreichbar. Zun\u00e4chst einmal gibt es hier ein Inhaltsverzeichnis der gesamten Plattform, \u00fcber das sich alle Funktionen direkt aufrufen lassen und in dem sie nach Aufgabenbereich kategorisiert wurden.<\/p>\n\n\n\n Die Dashboards und Reports<\/strong><\/p>\n\n\n\n Etwas interessanter ist der Men\u00fcpunkt \u201cDashboards and Reports\u201d. Das darin enthaltene \u201cSecurity Dashboard\u201d l\u00e4sst sich mit Widgets genau an die Anforderungen der jeweiligen Umgebung anpassen. Insgesamt stehen hier 30 Widgets bereit, die \u00fcber die Aktivit\u00e4tsdaten, die Statistiken der Endpunktsensoren, die Erkennungen nach Angriffstypen, die IP-Adressen mit der gr\u00f6\u00dften Filteraktivit\u00e4t und vieles mehr informieren.<\/p>\n\n\n\n Was die Reports angeht, so stehen 25 unterschiedliche Templates zur Verf\u00fcgung, die Informationen liefern zu Risiken, Konten, Aktivit\u00e4tslogs, verf\u00fcgbaren Endpoints, internen Anwendungen, mobilen Ger\u00e4ten und \u00c4hnlichem. Bei Bedarf besteht aber immer die Option, eigene Reports anzulegen. Die IT-Mitarbeiter k\u00f6nnen Reports auch automatisch zu bestimmten Zeiten erzeugen, mit einem Logo an die Corporate Identity anpassen und sie automatisch an bestimmte Adressen mailen.<\/p>\n\n\n\n Die XDR Threat Investigation und die Workbench-App<\/strong><\/p>\n\n\n\n Die \u201cXDR Threat Investigation\u201d erm\u00f6glicht es den Administratoren, bestimmte Erkennungsmodelle \u2013 wie zum Beispiel die Erkennung verd\u00e4chtiger Tools oder das Erkennen von mit Fremdcode \u00fcberschriebenen, ausf\u00fchrbaren Windows-Dienstdateien \u2013 zu aktivieren oder zu deaktivieren. An gleicher Stelle lassen sich auch Ausnahmen definieren.<\/p>\n\n\n\n Unter dem gleichen Men\u00fcpunkt steht auch die so genannte Workbench App zur Verf\u00fcgung. Sie ist ein zentraler Bestandteil von Trend Vision One. Hier finden sich die Alarme sowie die Vorf\u00e4lle und die Administratoren haben Gelegenheit, festzustellen, was sie ausgel\u00f6st hat und was f\u00fcr Ereignisse und Indikatoren mit ihnen zusammenh\u00e4ngen. Eine grafische Darstellung visualisiert dabei die Beziehungen zwischen den einzelnen, mit dem Alarm zusammenh\u00e4ngenden Objekten. Bei Bedarf lassen sich die Objekte in dieser Grafik auch per Drag-and-Drop anordnen, um die \u00dcbersichtlichkeit zu erh\u00f6hen. Weitere Informationen sind \u00fcber einen Rechtsklick abrufbar und die Administratoren k\u00f6nnen auch direkte Aktionen starten, wie die Isolierung von Endpoints oder auch das Deaktivieren von Benutzerkonten. Analog zur Workbench gibt es auch eine App, die Angriffstechniken anzeigt, die im Netz erkannt wurden. Hier l\u00e4sst sich die Anzeige auch filtern, beispielsweise nach Zeitraum oder Risiko-Level.<\/p>\n\n\n\n \u201cThreat Intelligence\u201d informiert die zust\u00e4ndigen Mitarbeiter \u00fcber aktuelle Bedrohungen. Die diesen Informationen zugrundeliegenden Daten kommen \u2013 wie gesagt – aus internen und externen Quellen, also nicht notwendigerweise nur von Trend Micro.<\/p>\n\n\n\n Playbooks erm\u00f6glichen automatische Reaktionen<\/strong><\/p>\n\n\n\n Im Bereich \u201cWorkflow and Automation\u201d findet sich der Punkt \u201cSecurity Playbooks\u201d. F\u00fcr die Playbooks, die dazu dienen, um automatisch \u2013 beispielsweise durch Endpunktisolationen – auf pl\u00f6tzlich auftretende Risiken oder Sicherheitsvorf\u00e4lle zu reagieren, stehen diverse Templates bereit. Beispielsweise zum Herausfinden der Risiken beim Konfigurieren der Konten oder auch zum Starten eines Skripts. Wir untersuchten im Test zu diesem Zeitpunkt unsere internen Assets auf CVEs mit globaler Exploit-Aktivit\u00e4t. Dazu selektierten wir das dazugeh\u00f6rige Template. Daraufhin zeigte uns das System den Aufbau des Templates in grafischer Form mit Ausl\u00f6ser, Zielsystemen und den Bedingungen anhand derer dann diverse Aktionen durchgef\u00fchrt werden und erm\u00f6glichte es uns, das Template zu bearbeiten. Im n\u00e4chsten Schritt konnten wir aus dem Template ein Playbook erzeugen und dieses aktivieren. Im Test ergaben sich dabei keine Probleme.<\/p>\n\n\n\n Ebenfalls von Interesse: das Response Management. Hier lassen sich Powershell- und Bash-Skripts hinterlegen, die unterschiedliche Aufgaben ausf\u00fchren k\u00f6nnen, beispielsweise das Stoppen von Prozessen. Die \u201cThird Party\u201d-Integration erm\u00f6glicht es im Gegensatz dazu, externe Anwendungen in die Sicherheitsumgebung einzubinden und so zus\u00e4tzliche Daten zu importieren, die die Visibilit\u00e4t der Gesamtumgebung verbessern. Das System kommuniziert dabei nicht nur mit dem von uns bereits erw\u00e4hnten Active Directory, sondern auch mit vielen anderen Quellen, wie beispielsweise Office 365, LogRhythm SIEM, Qualys oder auch Syslog-Servern. Punkte zum Verwalten des RESTful API und dem bereits erw\u00e4hnten Service Gateway Management schlie\u00dfen den Bereich \u201cWorkflow and Automation\u201d ab.<\/p>\n\n\n\n Zero Trust und Cyber Risk Assessment<\/strong><\/p>\n\n\n\n \u00dcber den Zero-Trust-Secure-Access aktivieren die IT-Verantwortlichen diverse Sicherheitsfunktionen, die beispielsweise den Internet-Zugriff und die Arbeit mit internen Anwendungen steuern und \u00fcberwachen. Das \u201cCyber Risk Assessment\u201d dient dazu, die Anf\u00e4lligkeit der Unternehmensumgebung in Bezug auf k\u00fcrzlich aufgetretene Globale Bedrohungen unter die Lupe zu nehmen. Damit lassen sich beispielsweise Phishing-Angriffe simulieren, Endpoints auf Risiken hin scannen oder auch Mails \u00fcberpr\u00fcfen. Im Test ergaben sich dabei keine Schwierigkeiten. Wir konnten beispielsweise mit Hilfe des dazugeh\u00f6rigen Assistenten eine Demo-Phishing-Mail und ein entsprechendes Portal erstellen, die Empf\u00e4nger der Phishing-Mails ausw\u00e4hlen und die Kampagne starten. Anschlie\u00dfend lief sie in unserem Test problemlos ab.<\/p>\n\n\n\n Die \u201cEndpoint Security Operations\u201d stellen ein weiteres Herzst\u00fcck des Systems dar, denn sie bieten die genannten Funktionen zum Absichern der Endpoints. Hier finden sich die Systeme, auf denen der Trend-Micro-Agent l\u00e4uft und es besteht die M\u00f6glichkeit, die Policies f\u00fcr Server und Workstations zu definieren und zuzuweisen.<\/p>\n\n\n\n An gleicher Stelle sind auch Dashboards verf\u00fcgbar, die \u00fcber aktuelle Bedrohungen auf den jeweiligen Systemen informieren, au\u00dferdem lassen sich hier auch Logs und Reports einsehen. Ein Administrationsbereich mit Alarm-, Agenten- sowie Updateverwaltung und \u00c4hnlichem schlie\u00dft den Leistungsumfang der Endpoint-Sicherheit ab.<\/p>\n\n\n\n E-Mail- und Mobile-Security<\/strong><\/p>\n\n\n\n \u00dcber die E-Mail-Sicherheitsfunktion werden Administratoren in die Lage versetzt, E-Mail-Aktivit\u00e4ten unter Gmail und Microsoft 365 zu \u00fcberwachen. Die Mobile Security Operations erm\u00f6glichen es im Gegensatz dazu unter anderem, ein Inventory der mobilen Ger\u00e4te zu erstellen, mobile Policies zu definieren und Mobile Detection Logs einzusehen. Trend Vision One erkennt also gef\u00e4hrliche Anwendungen und Dateien auf den mobilen Devices, identifiziert unsichere Ger\u00e4te und Betriebssysteme und sch\u00fctzt die Anwender vor Bedrohungen aus dem Web und vor Phishing. Unterst\u00fctzt werden dabei die Betriebssysteme Android, ChromeOS und iOS.<\/p>\n\n\n\n Unter \u201cService Management\u201d lassen sich die Produktinstanzen wie \u201cStandard Endpoint for Clients\u201d oder \u201cServer and Workload\u201d verwalten und \u201cAdministration\u201d erm\u00f6glicht die Verwaltung von Trend Vision One an sich. Hier legen die Administratoren Benutzerrollen fest, erzeugen Benutzerkonten, verwalten API Keys, konfigurieren Alarmmeldungen und sehen Audit Logs ein. Dar\u00fcber hinaus legen sie die Zeitzone fest, limitieren die Zugriffe auf die Konsole auf bestimmte IP-Adressen, sammeln Daten f\u00fcr den Support, untersuchen, wie viele Credits ihnen noch f\u00fcr die Aktivierung von Funktionen zur Verf\u00fcgung stehen und \u00c4hnliches.<\/p>\n\n\n\n Hilfe durch die KI<\/strong><\/p>\n\n\n\n Der \u201eCompanion\u201c von Trend Micro stellt eine integrierte KI-L\u00f6sung dar, die bei der Suche hilft, Alarme erkl\u00e4rt, Aktionen empfiehlt und komplexe Skripts dekodiert. Da die L\u00f6sung derzeit noch als Preview gekennzeichnet ist, haben wir sie nur angetestet und nicht tiefgehend analysiert. Wir verwendeten sie beispielsweise, um uns Befehle erkl\u00e4ren zu lassen, die zu Alarmen gef\u00fchrt haben. Der Companion macht schon jetzt einen durchaus positiven Eindruck und wird sicher in Zukunft Administratoren viel Zeit sparen k\u00f6nnen.<\/p>\n\n\n\n Fazit<\/strong><\/p>\n\n\n\n Mit Trend Vision One bietet Trend Micro eine ganzheitliche Sicherheitsl\u00f6sung f\u00fcr Unternehmen an, die vor allem durch ihren gro\u00dfen Funktionsumfang \u00fcberzeugt. Sie erm\u00f6glicht es nicht nur, Server, Endpoints und Mobilger\u00e4te zu sch\u00fctzen, sondern sammelt bei Bedarf auch im ganzen Unternehmensnetz und der in Cloud Informationen zu sicherheitsrelevanten Vorf\u00e4llen. Die IT-Verantwortlichen k\u00f6nnen sowohl Alerts generieren lassen, oder sich direkt \u00fcber das Web-Interface \u00fcber den aktuellen und den vergangenen Status informieren. N\u00fctzlich sind die Playbooks, die automatische Reaktionen auf Sicherheitsvorf\u00e4lle erm\u00f6glichen. Das gleiche gilt f\u00fcr die Einbindung externer Informationen, mit denen sich die Administratoren \u00fcber laufende Sicherheitsbedrohungen informieren k\u00f6nnen, bevor sie ihr Unternehmen erreichen. Mit den ganzen Funktionen und der Option, \u00fcber das Web-Interface aktiv Gegenma\u00dfnahmen gegen Angriffe zu ergreifen, kann Trend Vision One enorm beim Erh\u00f6hen des Sicherheitsniveaus helfen. IT-Spezialisten, die nach einer ganzheitlichen Security-L\u00f6sung suchen, sollten das Produkt auf jeden Fall in die engere Wahl einbeziehen.<\/p>\n\n\n\n Dieser Test ist auch als PDF verf\u00fcgbar:<\/p>\n\n\n\n Anmerkung:<\/strong><\/p>\n\n\n\n Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Trend Vision One von Trend Micro stellte eine zentral verwaltete, einheitliche Sicherheitsl\u00f6sung dar, mit der sich Unternehmensumgebungen verwalten lassen. Der Hersteller verfolgt mit dem Produkt das Ziel, Silos aufzubrechen und ein \u00fcbergreifendes Werkzeug zur Verf\u00fcgung zu stellen, das es IT-Verantwortlichen erm\u00f6glicht, Risiken zu bewerten und zu identifizieren. Dar\u00fcber hinaus ist das Produkt auch dazu in der Lage, die im Netz vorhandenen Aktivposten zu inventarisieren und in Cloud-Infrastrukturen, Netzwerken, Servern, Endpoints und E-Mails Bedrohungen zu finden und zu bek\u00e4mpfen. Die L\u00f6sung konnte in unserem Testlabor ihre Leistungsf\u00e4higkeit unter Beweis stellen.<\/p>\n","protected":false},"author":81,"featured_media":25432,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[17681,6257,1060,1653,8220,10235,86,17680,11701,4873],"class_list":["post-25430","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-asm","tag-cloud","tag-e-mail","tag-endpoint","tag-ki","tag-playbook","tag-trend-micro","tag-trend-vision-one","tag-xdr","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25430"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25430\/revisions"}],"predecessor-version":[{"id":25982,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25430\/revisions\/25982"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25432"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25430"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25430"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/INF01_Trend_Vision_One_Marketecture_XDR_Version_231026US-1024x576.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/E1.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/E2.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/SG_Conn.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Success-1024x577.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Security_Event_Forwarding-1024x557.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Security_Gateway-1024x539.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Integration-1024x551.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Security_Dashboard-1024x549.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Risk_Events-1024x553.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Endpoint01-1024x544.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Playbook-1024x546.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Threat_Intelligence-1024x552.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/11.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Attack_Techniques-1024x547.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Angriffe-1024x550.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Attack-1024x612.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Obfuscated2-1024x613.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Phisihing-1024x553.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Attack_Surface-1024x556.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Cloud_Apps-1024x556.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/XDR-Detection-1024x554.png\")
<\/a>![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2023\/11\/Workbench-1024x551.png\")
<\/a>