Reaktion auf Ereignisse (Response)

Der DriveLock Agent kann nicht nur einfach Ereignismeldungen an verschiedene Ziele senden, sondern auch eine lokale Reaktion auf das Ereignis ('Response') initiieren, wenn das Ereignis eintritt. Eine solche Reaktion kann die Ausführung eines Programms oder Skripts sein oder die Aufnahme eines Fotos mit einer an das System angeschlossenen Webcam. Responses können bei einzelnen Ereignissen (siehe hier) und Alerts (siehe hier) verwendet werden, sobald diese definiert und benannt wurden.

Um eine neue Response-Definition zu erstellen, klicken Sie mit der rechten Maustaste auf Response-Definitionen, und wählen dann Neu... aus dem Kontextmenü. Die folgenden Response-Typen sind verfügbar:

  • PowerShell-Skript: Führt ein genanntes PowerShell-Skript mit optionalen Parametern aus dem Ereignis aus, auf das sich die Response bezieht.

  • Batch-Skript: Führt ein Batch-Skript mit dem Befehlsprozessor aus, optional mit Parametern.

  • Befehlszeilenausführung: Startet eine beliebige ausführbare Datei, optional mit Parametern.

  • Anzeige einer Security-Awareness-Kampagne: Zeigt eine definierte Awareness-Kampagne an, wenn das Ereignis eintritt.

  • Aufnahme mit Webcam: Erstellt beim Eintreten des Ereignisses eine Aufnahme und überträgt sie zusammen mit dem Ereignis. Diese Option sollte mit Bedacht verwendet werden, da sie schnell viel Speicherplatz verbrauchen kann, wenn das Ereignis zu häufig ausgelöst wird.

Responses werden über ein Dialogfeld mit folgenden Reitern definiert.

Auf dem Reiter Allgemein können ein Name und ein optionaler Kommentar eingegeben werden.

Mithilfe der Reiter Skript oder Kommandozeile wird der auszuführende Befehl oder das Skript einschließlich aller Parameter erstellt. Die Befehlszeile kann einfach in das Textfeld eingegeben oder durch Auswahl einer ausführbaren Datei/Skript und aller erforderlichen Parameter erstellt werden. Zur Verwendung der Schaltfläche Parameter einfügen müssen die Parameter allerdings zuerst auf der Registerkarte Parameter definiert werden.

Bei allen Response-Typen stehen Ihnen verschiedene Optionen zur Verfügung, mit denen Sie Bedingungen für die Verwendung definieren können: Die Registerkarten Computer, Netzwerke und Zeiten können verwendet werden, um die Response zu aktivieren oder zu deaktivieren, wenn bestimmte Bedingungen erfüllt sind. Dadurch könnte z.B. die Response nur auf bestimmten Computern ausgelöst werden, während diese mit dem Firmennetzwerk verbunden sind und das Ereignis außerhalb der regulären Bürozeiten stattfindet.

Klicken Sie OK, sobald alle Einstellungen abgeschlossen sind, um die Response-Definition zu speichern. Sie wird der Liste der Response-Definitionen auf der rechten Seite hinzugefügt. Anhand dieser Liste kann dann eine Auswahl von Responses auf Ereignisse und Alerts getroffen werden.