Mit dem Vorfalldiagramm (EDR) arbeiten

Das Vorfalldiagramm ist eine visuelle Darstellung eines EDR-Vorfalls. Es zeigt die Zusammenhänge zwischen dem Workload, den am Angriff beteiligten Prozessen und den ausgelösten Erkennungen. Das Vorfalldiagramm ist für alle EDR-Benutzer verfügbar.

Verwenden Sie das Vorfalldiagramm, um:

  • Verschaffen Sie sich auf einen Blick einen Überblick über die Struktur der Angriffskette.
  • Identifizieren Sie, welche Prozesse, Dateien, Netzwerkverbindungen und Registrierungseinträge beteiligt waren.
  • Lassen Sie sich Bedrohungserkennungen sowie die damit verbundenen MITRE-Taktiken und -Techniken anzeigen.
  • Navigieren Sie zu den einzelnen Knoten, um Details in der Seitenleiste zu überprüfen.

Einige EDR-Antwortaktionen sind derzeit nur über die Cyber Kill Chain und nicht über das Vorfalldiagramm verfügbar. Um EDR-Antwortaktionen (wie die Quarantäne eines Prozesses oder die Isolierung eines Workloads) anzuwenden, müssen Sie die Cyber Kill Chain verwenden. Weitere Informationen dazu finden Sie unter So können Sie Vorfälle in der Cyber Kill Chain untersuchen.

Auf das Vorfalldiagramm zugreifen

So können Sie auf das Vorfalldiagramm zugreifen

  1. Gehen Sie in der Cyber Protect-Konsole zu Schutz –> Vorfälle.
  2. Klicken Sie auf in der äußersten rechten Spalte des Vorfalls, den Sie untersuchen möchten.
  3. Gehen Sie zur Registerkarte Vorfalldiagramm.

Wenn Sie das Diagramm aktualisieren möchten, klicken Sie auf das Aktualisierungssymbol.

Knotentypen

Das Vorfalldiagramm umfasst die folgenden Knoten-Typen für EDR-Vorfälle:

  • Workload: Der oberste Knoten, der das betroffene Gerät darstellt. Alle Prozessbäume gehen von diesem Knoten aus.
  • Prozess: Stellt einen laufenden Prozess dar, der an dem Angriff beteiligt ist. Die Prozesse werden in einer Baumstruktur dargestellt, die die Ausführungskette vom ersten Prozess, bei dem eine Erkennung stattfand, bis zum letzten Prozess widerspiegelt.
  • Datei: Stellt einen Dateiknoten dar, der einem Prozess zugeordnet ist. In der Regel handelt es sich dabei um das Prozessabbild für Nicht-Systemprozesse.
  • Netzwerk: Stellt eine Netzwerkverbindung dar, die von einem Prozess hergestellt wird.
  • Registry: Stellt einen Registrierungsschlüssel oder -wert dar, auf den ein Prozess zugegriffen hat oder den er verändert hat.
  • Bedrohung: Stellt ein Erkennungsergebnis dar, das mit einem Prozess, einer Datei, einem Netzwerk oder einem Registrierungsknoten in Verbindung steht. Bei Bedrohungsknoten wird das Vertrauen durch Farben angezeigt: Rot steht für schädliche Erkennungen, Orange für verdächtige Erkennungen.
  • Identität: Stellt ein während des Vorfalls beobachtetes Benutzerkonto dar, basierend auf lokalen Daten, die vom EDR-Agenten erfasst wurden.

Für Informationen über Knoten-Symbole siehe Symbole im Vorfalldiagramm (EDR).

Bedrohungsknoten-Gruppierung

Wenn mehrere Erkennungen mit derselben Entität in Verbindung stehen, werden die Bedrohungsknoten folgendermaßen gruppiert:

  • Wenn eine einzelne Erkennungsregel im Rahmen einer MITRE-Technik zur Anwendung kommt, wird der Bedrohungsknoten mit dem beschreibenden Namen der Regel gekennzeichnet.
  • Wenn mehrere Regeln unter derselben MITRE-Technik zutreffen, wird ein Bedrohungsknoten angezeigt, der mit der MITRE-Technik beschriftet ist. Klicken Sie auf den Knoten, um eine Tabelle mit allen zugehörigen Regeln anzuzeigen.
  • Wenn sich Erkennungen über mehrere MITRE-Techniken erstrecken, wird ein zusammengeklappter Bedrohungsknoten mit einem „+“-Symbol angezeigt. Klicken Sie darauf, um ihn zu erweitern und einzelne Knoten auf Technik- oder Regelebene anzuzeigen.
  • Schädliche und verdächtige Erkennungen werden in separaten Gruppen angezeigt.

Vorfalldiagramm für Multi-Workload-Vorfälle

Wenn ein Vorfall mehr als einen Workload betrifft, zeigt das Vorfalldiagramm für jeden Workload ein Unterdiagramm an. Weitere Informationen dazu finden Sie unter Mit Multi-Workload-Vorfällen im Vorfalldiagramm arbeiten.

Vorfalldiagramm, wenn XDR aktiviert ist

Wenn XDR-Integrationen aktiv sind, wird das Vorfalldiagramm um externe Knoten aus diesen Integrationen erweitert, beispielsweise um E-Mail-, Identitätsmanagement- und Firewall-Daten. Externe Knoten sind durch eine Blase mit der Integrationsquelle gekennzeichnet, die auf dem Knotensymbol angezeigt wird. Weitere Informationen dazu finden Sie unter Mit dem Vorfalldiagramm (XDR) arbeiten.