Vorfälle in der Vorfallliste überprüfen

Die Endpoint Detection and Response (EDR)-Funktionalität stellt eine Vorfallsliste bereit, wozu auch Präventionsmaßnahmen (gegen Malware) und verdächtige Erkennungen auf einem Workload gehören. Die Vorfallsliste gibt Ihnen einen schnellen Überblick über alle Angriffe oder Bedrohungen, die Ihre Workloads betreffen. Dazu gehören auch Bedrohungen, die noch abgeschwächt werden müssen.

Mithilfe der Vorfallsliste können Sie folgende Dinge schnell feststellen:

  • Die Sicherheitslage einer Organisation: wie viele Vorfälle müssen untersucht werden?
  • Welches sind die kritischsten Vorfälle? Sie können deren Untersuchung nach deren jeweiligem Schweregrad priorisieren.
  • Welche Vorfälle neu sind oder noch andauern.
Wenn Sie als Partneradministrator angemeldet sind, können Sie alle EDR-Vorfälle in einer einzigen Ansicht einsehen, in der die Vorfälle von all Ihren Kunden zusammengefasst werden, ohne dass Sie auf die individuelle Vorfallansicht jedes einzelnen Kunden zugreifen müssen. Es wird eine zusätzliche Spalte Kunden mit dem jeweiligen Kundennamen angezeigt, zu dem jeder Vorfall gehört. Darüber hinaus werden in den Widgets auf dem Dashboard Überblick aggregierte Metrikdaten aller Kunden angezeigt.

Sie können auf die Vorfallsliste (wie unten gezeigt) über das Menü Schutz in der Cyber Protect-Konsole zugreifen. Weitere Informationen darüber, wie Sie die Vorfälle in der Vorfallsliste überprüfen können, finden Sie im Abschnitt „Priorisieren Sie, welche Vorfälle eine sofortige Aufmerksamkeit erfordern“. Wenn Sie mehr über die Erstellung von Vorfällen erfahren wollen, informieren Sie sich unter „Was genau sind Vorfälle?“.

Wenn die Managed Detection & Response (MDR)-Funktionalität für Ihre Workloads aktiviert ist, wird eine zusätzliche Spalte namens MDR-Ticket angezeigt. In dieser wird die Ticketnummer angezeigt, die vom jeweiligen MDR-Anbieter bereitgestellt wird.

Die Cyber Protect-Konsole muss geöffnet sein, damit Sie Vorfallsbenachrichtigungen erhalten können.

Die Vorfalllistenansicht anpassen

Klicken Sie auf Anzeigen neben dem XDR Ein-Schalter, um auf die folgenden Anzeigeoptionen zuzugreifen:

  • Automatische Aktualisierung: Wenn diese Option aktiviert ist, wird die Vorfallliste automatisch aktualisiert, um die neuesten Vorfälle anzuzeigen.
  • Übertragene Vorfälle anzeigen: Wenn aktiviert, werden übertragene Vorfälle in der Vorfallsliste angezeigt. Standardmäßig sind übertragene Vorfälle ausgeblendet. Für weitere Informationen siehe Übertragene Vorfälle.

Was genau sind Vorfälle?

Vorfälle bzw. Sicherheitsvorfälle können als eine Art Container mit mindestens einer Präventionsmaßnahme oder einem verdächtigen Erkennungspunkt (oder eine Mischung daraus) betrachtet werden und umfassen alle Ereignisse und Erkennungen, die mit einem einzelnen Angriff in Zusammenhang stehen. Diese Sicherheitsvorfälle können außerdem harmlose Ereignisse enthalten, die weiteren Aufschluss über das Geschehen geben können.

So können Sie alle Angriffsereignisse zusammen in einem einzelnen Vorfall betrachten und die logischen Schritte verstehen, die der jeweilige Angreifer durchgeführt hat. Außerdem hilft es, die Untersuchungszeit bei einem Angriff zu verkürzen.

Wenn die EDR-Funktionalität im Schutzplan aktiviert ist, werden Sicherheitsvorfälle erstellt, wenn:

  • Eine Präventionsschicht etwas gestoppt hat: Diese Vorfälle werden entsprechend den Schutzplan-Einstellungen automatisch vom System geschlossen. Sie können jedoch untersuchen, was genau die jeweilige Malware getan hat, bevor sie gestoppt wurde. So kann es beispielsweise sein, dass eine Ransomware gestoppt wurde, als sie mit der Verschlüsselung von Dateien begann. Zuvor kann sie jedoch bereits Anmeldedaten gestohlen oder einen Dienst installiert haben.
  • Eine verdächtige Aktivität von der EDR-Funktionalität erkannt wurde: Dies sind Erkennungen, die untersucht und behoben werden sollten. Indem Sie die visuell verbesserte Cyber Kill Chain untersuchen (weitere Informationen dazu finden Sie unter „So können Sie Vorfälle in der Cyber Kill Chain untersuchen“), können Sie die entsprechenden Schadensbehebungsmaßnahmen leicht anwenden.