Den Kabeen-Agenten in Ihrem EDR/Virenschutz zulassen

Fehlalarme von EDR/XDR auf Kabeen-Programmdateien beheben, indem der Agent zur Zulassungsliste hinzugefuegt wird

EDR/XDR-Loesungen (Sophos, CrowdStrike usw.) koennen Fehlalarme auf den Programmdateien des Kabeen-Agenten ausloesen. Dieser Artikel erklaert, wie Sie diese Warnungen erkennen und den Agenten in Ihrer Sicherheitsloesung zulassen, damit die Nutzungserfassung nicht unterbrochen wird.

Symptome

Sie koennen folgende Anzeichen beobachten:

  • Warnungen oder Blockierungen, die Ihr EDR/XDR auf Kabeen.exe und proxy.exe meldet.
  • Quarantaene der Programmdateien des Agenten.
  • Arbeitsplaetze, die keine Nutzung mehr an die Plattform melden, weil die Erfassung blockiert ist.

Ohne eine ausdrueckliche Zulassung des Agenten in Ihrer Sicherheitsloesung kann die Erfassung blockiert werden, und die betroffenen Arbeitsplaetze melden keine Daten mehr.

Den Agenten zur Zulassungsliste (Allowlist) hinzufuegen

Um den Betrieb des Agenten wiederherzustellen, fuegen Sie die folgenden Elemente zur Zulassungsliste Ihres EDR/XDR hinzu:

  1. Die Programmdatei Kabeen.exe.
  2. Die Programmdatei proxy.exe.
  3. Den Installationsordner des Agenten unter Windows:
C:\Program Files\Kabeen

Die genaue Konfiguration haengt von Ihrer Sicherheitsloesung ab (die Oberflaeche und der Ort der Regeln variieren je nach Anbieter). Schlagen Sie in der Dokumentation Ihres EDR/XDR nach, um eine Ausnahme fuer diese Programmdateien und diesen Ordner zu erstellen.

Server-Agent fuer die Infrastruktur

Die gleichen Ueberlegungen gelten auf der Serverseite. Wenn Sie den Infrastruktur-Server-Agenten auf Maschinen einsetzen, die durch ein EDR/XDR geschuetzt sind, lassen Sie den Server-Agenten auf die gleiche Weise zu, damit seine Erfassung nicht blockiert wird.

Ploetzlich aufgetretene Warnung

Eine Warnung, die ploetzlich auf einem bisher funktionierenden Agenten auftritt, ist oft auf eine Aenderung des Erkennungsalgorithmus aufseiten des EDR-Anbieters zurueckzufuehren. In diesem Fall:

  1. Belassen Sie den Agenten auf der Zulassungsliste.
  2. Melden Sie die Warnung dem Kabeen-Support zur moeglichen Einreichung der Programmdatei beim Anbieter Ihrer Sicherheitsloesung.

Siehe auch

Wenn die Erfassung nach der Zulassung weiterhin blockiert ist, pruefen Sie auch die zugelassenen Netzwerkfluesse. Der Agent verwendet ausschliesslich ausgehendes HTTPS ueber Port 443/TCP zu api.kabeen.io und intake.kabeen.io. Schlagen Sie in den Voraussetzungen des Infrastruktur-Agenten nach, um Einzelheiten zu den zuzulassenden Fluessen zu erhalten.

VorherigeDiagnoseNächsteBenutzerkommunikationsvorlage