Übertragene Vorfälle

Wenn die Korrelations-Engine erkennt, dass Erkennungen aus einem bestehenden EDR-Vorfall Teil eines umfassenderen, korrelierten Angriffs sind, werden diese Erkennungen zu einem neuen korrelierten Vorfall übertragen. Der ursprüngliche Vorfall wird daraufhin als übertragen markiert.

Durch die Übertragung von Vorfällen kann die Korrelations-Engine zusammenhängende Aktivitäten in einem einzigen Vorfall zusammenfassen, um einen umfassenderen Überblick über den Angriff zu erhalten, wobei gleichzeitig ein Verweis auf den ursprünglichen Vorfall, aus dem die Erkennungen stammen, erhalten bleibt.

Was passiert, wenn ein Vorfall übertragen wird

• Alle Erkennungen des ursprünglichen Vorfalls werden zum neuen korrelierten Vorfall verschoben.
• Der ursprüngliche Vorfall ist in der Vorfallliste als „übertragen“ gekennzeichnet.
• In den Vorfalldetails wird eine Meldung angezeigt, die einen Link zum neuen, korrelierten Vorfall enthält.
• Antwortaktionen, einschließlich „Smart Remediation“ (intelligente Behebungsmaßnahmen), stehen für übertragene Vorfälle nicht zur Verfügung. Nutzen Sie den neuen korrelierten Vorfall zur Untersuchung und Reaktion.

Übertragene Vorfälle identifizieren

Sie können übertragene Vorfälle anhand des Übertragungssymbols neben der Vorfall-ID in der Vorfallliste erkennen.

So können Sie übertragene Vorfälle in der Vorfallliste einsehen

1. Gehen Sie in der Cyber Protect-Konsole zu Schutz > Vorfälle.

2. Klicken Sie auf Anzeigen neben dem XDR Ein-Schalter und aktivieren Sie Übertragene Vorfälle anzeigen.

   Übertragene Vorfälle sind in der Liste ausgegraut.

3. Klicken Sie auf das Übertragungssymbol, um die Vorfalldetails einzusehen.

   Der Fensterbereich „Details“ enthält einen Link zu dem neuen, korrelierten Vorfall, der die übertragenen Erkennungen enthält.

Wenn Sie die übertragene Aktivität untersuchen möchten, öffnen Sie den neuen korrelierten Vorfall über den Link, der in den Details des übertragenen Vorfalls angegeben ist.