Endpoint Detection and Response (EDR)-Workflows

Es gibt sechs Standard-EDR-Workflows, die Sie entsprechend Ihren Anforderungen konfigurieren können:

  • Bedrohung unter Quarantäne stellen (wenn ein EDR-Vorfall erstellt wird)
  • Bedrohung unter Quarantäne stellen (wenn ein EDR-Vorfall aktualisiert wird)
  • Workload isolieren (wenn ein EDR-Vorfall erstellt wird)
  • Workload isolieren (wenn ein EDR-Vorfall aktualisiert wird)
  • Malware-Vorfall, der Aufmerksamkeit erfordert
  • Vorfall, der Aufmerksamkeit erfordert

Die nachfolgende Tabelle beschreibt die Standardauslöser, Bedingungen und Aktionen, die auf jeden Workflow anwendbar sind. Weitere Informationen zur Änderung dieser Bedingungen und Aktionen finden Sie unter Einen automatischen Endpoint Detection and Response (EDR)-Workflow konfigurieren.

Workflow Auslöser Bedingungen Aktionen
Bedrohung unter Quarantäne stellen EDR-Vorfall wird erstellt

Bedrohungsstatus = „Nicht abgeschwächt“

UND

Vorfallsstadium = „Nicht gestartet“

UND

Schweregrad = „Hoch“

UND

Vorfallstyp = „Prozess erkannt“ ODER „Malware erkannt“

  1. Den Prozess stoppen.

  2. Den Prozess unter Quarantäne stellen.

  3. Geben Sie einen Kommentar ein. Der Standardkommentartext lautet „<Workflow name> – Bedrohung mit hohem Schweregrad unter Quarantäne gestellt“.

  4. Den Vorfall schließen.
Bedrohung unter Quarantäne stellen Der EDR-Vorfall wird aktualisiert
Workload isolieren EDR-Vorfall wird erstellt

Bedrohungsstatus = „Nicht abgeschwächt“

UND

Vorfallsstadium = „Nicht gestartet“

UND

Schweregrad = „Kritisch“

UND

Bewertung = „Schädlich“

UND

Positivitätslevel > 9

UND

Vorfallstyp = „Prozess erkannt“ ODER „Malware erkannt“

  1. Den Prozess stoppen.

  2. Den Prozess unter Quarantäne stellen.

  3. Den Workload isolieren.

  4. Geben Sie einen Kommentar ein. Der Standardkommentartext lautet „<Workflow name> - Der Workload <Workload name> wurde isoliert, nachdem eine kritische Malware erkannt wurde“.

  5. E-Mail an ausgewählte Cyber Protect-Konsolen-Benutzer senden.
Workload isolieren Der EDR-Vorfall wird aktualisiert
Malware-Vorfall, der Aufmerksamkeit erfordert EDR-Vorfall wird erstellt

Bedrohungsstatus = „Nicht abgeschwächt“

UND

Vorfallsstadium = „Nicht gestartet“

UND

Vorfallalter > 8 Stunden

UND

Schweregrad = „Hoch“ ODER „Kritisch“

UND

Bewertung = „Schädlich“

UND

Vorfallstyp = „Malware-Erkennung“

  1. Den Prozess stoppen.

  2. Den Prozess unter Quarantäne stellen.

  3. Geben Sie einen Kommentar ein. Der Standardkommentartext lautet „<Workflow name> – Bedrohung mit hohem/kritischem Schweregrad wurde unter Quarantäne gestellt, da seit 8h keine Untersuchung durchgeführt wurde“.

  4. E-Mail an ausgewählte Cyber Protect-Konsolen-Benutzer senden.
Vorfall, der Aufmerksamkeit erfordert EDR-Vorfall wird erstellt

Bedrohungsstatus = „Nicht abgeschwächt“

UND

Vorfallsstadium = „Nicht gestartet“

UND

Vorfallalter > 24 Stunden

UND

Schweregrad = „Hoch“ ODER „Kritisch“

UND

Bewertung = „Schädlich“

  1. Den Prozess stoppen.

  2. Den Prozess unter Quarantäne stellen.

  3. Geben Sie einen Kommentar ein. Der Standardkommentartext lautet „<Workflow name> – Bedrohung mit hohem/kritischem Schweregrad wurde unter Quarantäne gestellt, da seit 24h keine Untersuchung durchgeführt wurde“.

  4. E-Mail an ausgewählte Cyber Protect-Konsolen-Benutzer senden.