Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Fehlerbehebung bei SentinelOne: NinjaOne-Komponente als Bedrohung erkannt

Problem

In seltenen Fällen erkennt SentinelOne den NinjaOne Patcher oder andere NinjaOne-Komponenten (lockhart.exe, Remote oder andere) als Bedrohung. 

Umgebung

  • Mit NinjaOne integrierte Anbieter
  • SentinelOne

Ursache

Die Ursache für dieses Problem ist derzeit unbekannt.

Lösung

NinjaOne empfiehlt, in Ihrem SentinelOne-Webmanagement-Portal eine Zertifikatsausschlussregel zu erstellen. Wenn Sie eine einheitliche Ausschlussregel verwenden, lesen Sie den Abschnitt dieses Artikels mit dem Titel „Erstellen von Alarmausschlussregeln in der Verwaltung einheitlicher Ausschlussregeln“.

Führen Sie die folgenden Schritte aus, um den Ausschluss zu erstellen:

  1. Melden Sie sich auf Kontoebene bei der SentinelOne-Webmanagement-Konsole an.
  2. Klicken Sie im linken Navigationsmenü auf „Sentinels “.
  3. Klicken Sie im oberen Navigationsmenü auf „AUSSCHLÜSSE “.
  4. Klicken Sie auf „New Exclusion “ → „Create Exclusion“.

S1 new exclusion.png
Abbildung 1: Erstellen einer neuen Ausnahme in SentinelOne (zum Vergrößern anklicken)

  1. Geben Sie die Daten genau wie folgt ein:
    • Ausschlusstyp: Zertifikat
    • Betriebssystem: Windows
    • Identität des Unterzeichners: NinjaOne LLC
    Befindet sich der Kunde in einer von NinjaOne verwalteten Umgebung, müssen sowohl die von „NINJARMM, LLC“ als auch die von „NINJAONE, LLC“ signierten Zertifikate Teil der Ausschlüsse sein. Neue Konsolen, die nicht von NinjaOne verwaltet werden, können nur von „NINJAONE, LLC“ signierte Zertifikate zulassen. Der SentinelOne Agent 23.4 SP2 führt Ausschlüsse für die NinjaOne-Ausführungsdateien ein.
  2. Klicken Sie auf „Bedrohungen“, um zu testen, ob NinjaOne-Produkte ordnungsgemäß ausgeschlossen werden.
  3. Sobald die Informationen korrekt eingegeben wurden, klicken Sie auf „Speichern“.

S1_new exclusion certificate.png
Abbildung 2: Konfigurieren der neuen Ausnahme 

Erstellen von Warnungsausnahmen in der einheitlichen Ausnahmenverwaltung

Führen Sie die folgenden Schritte aus, um die Warnungsausnahme zu erstellen:

  1. Legen Sie die allgemeinen Details für die Ausschlussregel fest: 
    1. Melden Sie sich auf Kontoebene bei der SentinelOne-Webverwaltungskonsole an.
    2. Klicken Sie im linken Navigationsmenü auf „Sentinels “.
    3. Klicken Sie im oberen Navigationsmenü auf „AUSSCHLÜSSE “.
    4. Klicken Sie auf „Neuer Ausschluss “ → „Ausschluss erstellen“.
    5. Geben Sie dem Ausschluss unter „Ausschlussname“ eine eindeutige Kennung. 
    6. Für den „Geltungsbereich“ empfiehlt NinjaOne, den Ausschluss mit dem engstmöglichen Geltungsbereich zu erstellen. Um den Geltungsbereich zu ändern, wählen Sie „Global“, ein Konto, einen Standort oder eine Gruppe aus. 
    7. Geben Sie die Daten genau wie folgt ein:
      • Ausschlusstyp: Warnmeldungen
      • Betriebssystem: Wählen Sie die Plattform aus, für die der Ausschluss gilt (Windows, macOS oder Linux).
    8. Wenn als Betriebssystem „Windows“ ausgewählt ist, wählen Sie die Quelle der Warnmeldung aus, die Sie unterdrücken möchten:
      • EDR: Unterdrücken Sie Warnmeldungen im Zusammenhang mit Endpoint Detection and Response (EDR)-Engines.
      • Identität: Unterdrücken Sie Warnmeldungen im Zusammenhang mit Identity Detection-Engines.
    9. Klicken Sie auf „Weiter“.

S1 new exclusion_unified exclusion.png
Abbildung 3: Konfigurieren Sie den Warnungsausschluss in SentinelOne (zum Vergrößern anklicken)

Es wird eine Zusammenfassung der Ausschlussdetails angezeigt, mit der Option „Bedingung erstellen “ und der Möglichkeit, bestimmte Erkennungs-Engines festzulegen.

  1. Legen Sie Bedingungen für den Ausschluss von Warnmeldungen fest.
    1. Klicken Sie auf der Seite mit den Ausschlussdetails auf „Bedingung erstellen“. 

S1 exclusion_condition creation_create condition.pngAbbildung 4: Erstellen einer Bedingung für einen Ausschluss (zum Vergrößern anklicken)

Um EDR-Alarmausnahmen spezifischer zu gestalten, stellen Sie den Agenten so ein, dass er nur Alarme bestimmter Engines unterdrückt.
    1. Klicken Sie auf der Seite „Bedingung erstellen“ auf „Aussteller“ ( auch als „Zertifikat“ bezeichnet).

S1 condition creation_publisher.png
Abbildung 5: Wählen Sie „Publisher“ als Bedingungsparameter aus (zum Vergrößern anklicken)

    1. Geben Sie den Wert für den Parameter genau wie folgt ein: „NINJAONE LLC.“

S1 condition creation_publisher name and specific engines.png
Abbildung 6: Geben Sie den Namen des Herausgebers für die Bedingung an und legen Sie optional Erkennungs-Engines fest (zum Vergrößern anklicken)

    1. Klicken Sie auf „Speichern“.

    2. Um den Ausschluss anzuwenden, klicken Sie auf „Veröffentlichen“.

Weitere Ressourcen

Die folgenden Lerninhalte helfen Ihnen dabei, die Funktionen von Bitdefender GravityZone voll auszuschöpfen.

FAQ

Nächste Schritte