Einen Workload neu starten

Als Teil Ihrer Schadensbehebungsmaßnahmen auf einen Angriff können Sie mit der EDR-Funktionalität einen Workload umgehend neu starten oder nach einem vordefinierten Zeitlimit neu starten lassen.

So können Sie einen Workload neu starten

1. Klicken Sie in der Cyber Kill Chain auf den Workload-Knoten, für den Sie eine Neustart-Planung festlegen wollen.
2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
3. Klicken Sie im Bereich Beheben auf den Befehl Workload neu starten.

   

4. Klicken Sie im Feld Neustart-Zeitlimit auf den angezeigten Link und wählen Sie anschließend eine der folgenden Optionen:
   • Timeout festlegen: Legen Sie im Dialog „Neustart-Zeitlimit“ einen den Zeitraum fest, nach dem der Workload neu gestartet werden soll, und klicken Sie anschließend auf Speichern.
   • Sofort neu starten: Wählen Sie diese Option, wenn der Workload umgehend neu gestartet werden soll.
5. [Optional] Aktivieren Sie das Kontrollkästchen Schlägt fehl, wenn der Endbenutzer eingeloggt ist, wenn Sie sicherstellen wollen, dass der Workload nicht neu gestartet wird, solange der Benutzer angemeldet ist.
6. Geben Sie im Feld Anzuzeigende Nachricht eine Mitteilung ein, die die Benutzer erhalten, wenn sie auf den isolierten Workload zugreifen.
7. [Optional] Geben Sie im Feld Kommentar eine Anmerkung ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
8. Klicken Sie auf Neustart.

   Der Workload wird so konfiguriert, dass er gemäß der festgelegten Planung neu gestartet wird. Diese Aktion kann zudem auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.