So können einen Prozess, eine Datei oder ein Netzwerk zur Block- oder Positivliste des Schutzplans hinzufügen bzw. aus dieser wieder entfernen

Als Bestandteil Ihrer Präventionsmaßnahmen bei einem Angriff können Sie in Ihrem Schutzplan einen Knoten zur Positivliste oder Blockliste hinzufügen.

Sie können einen Knoten zu einer Positivliste hinzufügen, wenn Sie den Knoten für sicher halten und verhindern wollen, dass er zukünftig noch mal als falsch-positiv erkannt wird. Sie können einen Knoten zu einer Blockliste hinzufügen, wenn Sie verhindern wollen, dass der Knoten zukünftig ausgeführt werden kann.

Sie können auch einen Knoten von der Positiv- oder Blockliste entfernen, um zukünftige Zugriffe auf den Knoten zu erlauben oder zu verbieten.

Diese Option ist für folgende Cyber Kill Chain-Knoten verfügbar:

  • Prozess
  • Datei
  • Netzwerk

So können Sie einen Prozess, eine Datei oder ein Netzwerk zur Blockliste eines Schutzplans hinzuzufügen oder von dieser entfernen

  1. Klicken Sie in der Cyber-Kill-Chain Sie auf den Prozess, die Datei oder den Netzwerkknoten, auf die/den Sie eine Abwehrmaßnahme anwenden wollen.
  2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.

  3. Klicken Sie im Bereich Verhindern klicken Sie auf das Pfeilsymbol neben Blockliste.

  4. Wählen Sie den entsprechenden Schutzplan bzw. die Schutzpläne aus, auf den/die Sie diese Aktion anwenden wollen.
  5. [Optional] Geben Sie einen Kommentar ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
  6. Klicken Sie auf Hinzufügen.

    Die Aktion wird umgesetzt und es wird in Zukunft verhindert, dass der Prozess, die Datei oder das Netzwerk ausgeführt wird.

    Alternativ, wenn der Prozess, die Datei oder das Netzwerk zuvor zur Blockliste hinzugefügt wurde und Sie diese nun von der Blockliste wieder entfernen möchten, klicken Sie auf Entfernen. Dadurch kann wieder auf die Elemente zugegriffen werden.

    Die Aktion zum Hinzufügen oder Entfernen kann auch in den Registerkarte Aktivitäten des einzelnen Knotens als auch des kompletten Vorfalls eingesehen werden. Für weitere Informationen siehe Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden.

So können Sie einen Prozess, eine Datei oder ein Netzwerk in die Positivliste eines Schutzplans aufnehmen oder von dieser wieder entfernen

  1. Klicken Sie in der Cyber-Kill-Chain Sie auf den Prozess, die Datei oder den Netzwerkknoten, auf die/den Sie eine Abwehrmaßnahme anwenden wollen.
  2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.

  3. Klicken Sie im Bereich Verhindern auf das Pfeilsymbol neben Positivliste.

  4. Wählen Sie den entsprechenden Schutzplan bzw. die Schutzpläne aus, auf den/die Sie diese Aktion anwenden wollen.
  5. [Optional] Geben Sie einen Kommentar ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
  6. Klicken Sie auf Hinzufügen.

    Die Aktion wird umgesetzt und der Prozess, die Datei oder das Netzwerk wird in Zukunft vor falschen Erkennungen geschützt.

    Alternativ, wenn der Prozess, die Datei oder das Netzwerk zuvor zur Positivliste hinzugefügt wurde und Sie diese(s) nun von der Positivliste wieder löschen möchten, können Sie auf Entfernen klicken. Dadurch kann zukünftig nicht mehr auf das Element zugegriffen werden.

    Die Aktion zum Hinzufügen oder Entfernen kann auch in den Registerkarte Aktivitäten des einzelnen Knotens als auch des kompletten Vorfalls eingesehen werden. Für weitere Informationen siehe Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden.