Einen falsch-positiven Vorfall beheben

Wenn Sie sicher sind, dass es sich bei einem Angriff nicht um einen echten Angriff handelt, sondern dieser falsch-positiv erkannt wurde, können Sie festlegen, wie verhindert werden soll, dass dieser Vorfall erneut erkannt wird. Dazu können Sie den Vorfall beispielsweise zur Positivliste des entsprechenden Schutzplans hinzufügen.

So können Sie einen falsch-positiven Vorfall beheben

1. Klicken Sie in der Cyber Kill Chain für den ausgewählten Vorfall auf den Befehl Gesamten Vorfall beheben. Das Dialogfenster „Gesamten Vorfall beheben“ wird angezeigt.
2. Wählen Sie im Bereich Analystenbewertung die Option Falsch positiv.

   

3. Aktivieren Sie im Bereich Präventionsmaßnahmen das Kontrollkästchen Zur Positivliste hinzufügen. Wählen Sie aus der Liste der angezeigten Schutzpläne die passenden Schutzpläne aus.

   Diese Präventionsmaßnahme stellt sicher, dass alle Erkennungen des Vorfalls für die ausgewählten Schutzpläne verhindert werden.

4. Aktivieren Sie das Kontrollkästchen Untersuchungsstadium des Vorfalls ändern in: Falsch positiv.
5. Klicken Sie auf Beheben.

   Nach dem Anklicken wird auf der Schaltfläche Zu „Aktivitäten“ gehen angezeigt. Klicken Sie auf Zu „Aktivitäten“ gehen, um die Antwortaktionen zu überprüfen, die auf den Vorfall angewendet wurden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.