Symbole im Vorfalldiagramm (EDR)
In der folgenden Tabelle sind die Knoten-Symbole aufgeführt, die im Vorfalldiagramm für EDR-Vorfälle verfügbar sind.
Ein Knoten kann mehrere einzelne Knoten desselben Typs umfassen. Das Symbol zeigt eine Zahl an, die angibt, wie viele Knoten gruppiert sind. Beispielsweise bedeutet 
, dass der Vorfall mehr als 100 Prozesse umfasst. Liegt die Anzahl der gruppierten Knoten unter 100, wird die tatsächliche Anzahl angezeigt.
Bedrohungsknoten verwenden Farbcodierungen, um die Vertrauensstufe anzuzeigen: Ein rotes Symbol steht für eine schädliche Erkennung, ein orangefarbenes Symbol für eine verdächtige Erkennung. Zusammengeklappte Bedrohungsgruppen werden mit einem „+“-Symbol angezeigt. Klicken Sie darauf, um sie zu erweitern und die einzelnen MITRE-Technik- oder Regelknoten anzuzeigen.
| Symbol | Beschreibung |
|---|---|
|
Ein Kompromittierungsindikator (IoC), der auf einen generischen oder injizierten Prozess hinweist. Das Symbol ist mit dem Prozessnamen beschriftet, z.B. prozessname.exe. |
|
Kompromittierungsindikator (IoC), der auf eine generische, Dokument-, ausführbare oder Skript-Datei hinweist. Das Symbol ist mit dem Dateinamen beschriftet, z.B. dateiname.dll. |
|
Ein Kompromittierungsindikator (IoC), der eine URL angibt. Das Symbol ist mit der URL beschriftet, z.B. abc.com. |
|
Angriffsindikator (Indicator of Attack, IoA). Das Symbol ist mit dem IoA-Namen gekennzeichnet, z.B. Minikatz. |
|
Workload Das Symbol ist mit dem Workload-Namen beschriftet, z.B. DESKTOP-D123. |
|
Identität (Benutzer) Das Symbol ist mit der Benutzerkonten-ID gekennzeichnet, z.B. david.smith@b.com. Dieser Knoten enthält Informationen, die lokal vom Agenten erfasst wurden und daher keine Verbindung zur Microsoft-API erfordern. |