Wiederherstellung aus einem Backup

Als Teil Ihrer Wiederherstellungsmaßnahmen nach einem Angriff ermöglicht Ihnen die EDR-Funktionalität, Ihre komplette Maschine (oder auch nur bestimmte Dateien bzw. Ordner) aus einem Backup wiederherzustellen.

So können Sie Ihren Workload aus einem Backup wiederherstellen

  1. Klicken Sie in der Cyber Kill Chain auf den Workload-Knoten, den Sie wiederherstellen wollen.
  2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
  3. Klicken Sie im Bereich Recovery auf den Befehl Aus Backup wiederherstellen.

  4. Klicken Sie im Feld Recovery-Punkt auf Auswahl und führen Sie dann folgende Schritte aus:
    1. Wählen Sie in der angezeigten Seitenleiste den entsprechenden Recovery-Punkt.
    2. Klicken Sie auf Recovery –> Kompletter Workload, wenn Sie alle Dateien und Ordner auf dem Workload wiederherstellen wollen.

      Oder

      Klicken Sie auf Recovery –> Dateien/Ordner, wenn Sie bestimmte Dateien und Ordner auf dem Workload wiederherstellen wollen. Sie werden dann aufgefordert, die entsprechenden Dateien bzw. Ordner auszuwählen. Sie können die Liste der für die Wiederherstellung ausgewählten Elemente noch einmal einsehen, indem Sie auf den entsprechenden Wert im Feld Wiederherzustellende Elemente klicken.

      Wenn ein von Ihnen ausgewählter Recovery-Punkt verschlüsselt ist, werden Sie aufgefordert, das entsprechende Kennwort einzugeben.
  5. [Optional] Aktivieren Sie das Kontrollkästchen Workload bei Bedarf automatisch neu starten. Diese Option ist nur dann relevant, wenn Sie im Schritt 4 den Befehl Recovery –> Kompletter Workload ausgewählt haben.
  6. [Optional] Geben Sie im Feld Kommentar eine Anmerkung ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
  7. Klicken Sie auf Recovery starten.

    Der Wiederherstellungsprozess für den Workload wird gestartet. Der Fortschritt dieser Aktion kann auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.