Antwortaktionen für eine verdächtige Datei definieren

Als Teil Ihrer Abwehrmaßnahmen gegen einen Angriff können Sie folgende Aktionen auf verdächtige Dateien anwenden:

• Eine Datei löschen (siehe unten)
• Eine Datei unter Quarantäne stellen (siehe unten)
• Eine Datei zur Positiv- oder Blockliste des Schutzplans hinzufügen (siehe Abschnitt „So können einen Prozess, eine Datei oder ein Netzwerk zur Block- oder Positivliste des Schutzplans hinzufügen bzw. aus dieser wieder entfernen“)

So können Sie eine verdächtige Datei löschen

1. Klicken Sie in der Cyber Kill Chain auf den Dateiknoten, dessen Schäden Sie beheben wollen.
2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
3. Klicken Sie im Bereich Beheben auf den Befehl Löschen.

   

4. [Optional] Geben Sie einen Kommentar ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
5. Klicken Sie auf Löschen.

   Die Datei wird gelöscht. Diese Aktion kann zudem auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.

So können Sie eine verdächtige Datei unter Quarantäne stellen

1. Klicken Sie in der Cyber Kill Chain auf den Dateiknoten, dessen Schäden Sie beheben wollen.
2. Gehen Sie in der angezeigten Seitenleiste zu Antwortaktionen.
3. Klicken Sie im Bereich Beheben auf den Befehl Quarantäne.

   

4. [Optional] Geben Sie einen Kommentar ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
5. Klicken Sie auf Quarantäne.

   Die Datei wird unter Quarantäne gestellt. Diese Aktion kann zudem auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.