Antwortaktionen für einzelne Cyber Kill Chain-Knoten

Wenn Sie den Vorfall noch genauer verwalten müssen, können Sie verschiedene Antwortaktionen auf einzelne Cyber Kill Chain-Knoten anwenden. Diese Antwortaktionen ermöglichen es Ihnen, jeden Knoten schnell und einfach zu reparieren.

Wie Sie globale Antwortaktionen auf einen gesamten Vorfall anwenden können, erfahren Sie in Abschnitt „Einen gesamten Vorfall beheben“.

Die Antwortaktionen werden in die nachfolgenden Kategorien unterteilt, wobei nicht alle Knoten alle der folgenden Kategorien enthalten:

Beheben: Mit den Aktionen in dieser Kategorie können Sie umgehend auf einen Angriff reagieren. Dazu gehören Maßnahmen wie die Netzwerk-Isolation für einen Workload zu verwalten oder Dateien, Prozesse und Registry-Werte zu löschen und unter Quarantäne zu stellen.
Untersuchen: Mit den Aktionen in dieser Kategorie (nur auf Workloads anwendbar) können Sie ein Forensik-Backup, eine Remote-Desktop-Verbindung oder eine Remote-Befehlszeile oder ein Terminal ausführen, um tiefergehende Untersuchungen durchzuführen.
Recovery: Mit den Aktionen in dieser Kategorie (nur auf Workloads anwendbar) können Sie auf intensive Angriffe reagieren, indem Sie eine Wiederherstellungen aus einem Backup oder einen Disaster Recovery-Failover-Prozess durchführen.
Verhindern: Mit den Aktionen in dieser Kategorie können Sie zukünftige Bedrohungen oder Falsch-Positiv-Erkennungen verhindern, indem Sie letzere zur Positiv- oder Blockliste eines Schutzplans hinzufügen.

Wenn ein Vorfall geschlossen wird, können Sie auf einen Knoten keine Antwortaktionen mehr anwenden. Sie können einen geschlossenen Vorfall jedoch wieder öffnen, indem Sie dessen Untersuchungsstadium ändern – und zwar zu Wird untersucht. Wenn er neu geöffnet wird, können Sie Antwortaktionen anwenden.

In der nachfolgenden Tabelle werden die einzelnen Knotentypen in der Cyber Kill Chain, die anwendbaren Kategorien für jeden Knoten sowie die verfügbaren Antwortaktionen beschrieben.

Knoten	Kategorie	Antwortaktionen
Workload	Beheben	Netzwerk-Isolation verwalten Workload neu starten
	Untersuchen	Forensik-Backup Remote-Desktop-Verbindung Remote-Befehlszeile ausführen (Windows) Terminal ausführen (macOS)
	Recovery	Wiederherstellung aus einem Backup Disaster Recovery-Failover
	Verhindern	Patchen
Prozess	Beheben	Prozess stoppen Quarantäne
Prozess	Verhindern	Zur Positivliste hinzufügen Zur Blockliste hinzufügen
Datei	Beheben	Löschen Quarantäne
Datei	Verhindern	Zur Positivliste hinzufügen Zur Blockliste hinzufügen
Registry	Beheben	Löschen
Netzwerk	Verhindern	Zur Positivliste hinzufügen Zur Blockliste hinzufügen