So können Sie Vorfälle in der Cyber Kill Chain untersuchen

Sie können jeden einzelnen Schritt eines Angriffs in der Cyber Kill Chain untersuchen. Die leicht verständlichen Sätzen und Grafiken der Cyber Kill Chain helfen Ihnen, jeden Schritt des Angriffs zu verstehen und die Untersuchungszeit zu minimieren.

So können Sie eine Untersuchung in der Cyber Kill Chain beginnen

1. Gehen Sie in der Cyber Protect-Konsole zu Schutz –> Vorfälle.

2. Klicken Sie (innerhalb der angezeigten Vorfallsliste) in der ganz rechten Spalte des zu untersuchenden Vorfalls auf . Die Cyber Kill Chain für den ausgewählten Vorfall wird angezeigt.

   

3. Die Bedrohungsstatusleiste im oberen Bereich der Seite zeigt eine Zusammenfassung des Vorfalls an. Die Bedrohungsstatusleiste enthält folgende Informationen:
   • Aktueller Bedrohungsstatus: Der Bedrohungsstatus wird automatisch vom System definiert. Jeder Vorfall, der Nicht abgeschwächt wurde, sollte möglichst schnell untersucht werden.
     Ein Vorfall erhält den Status Abgeschwächt, wenn eine „Wiederherstellung aus einem Backup“ erfolgreich abgeschlossen wurde – oder wenn alle Erkennungen durch eine Aktion vom Typ „Prozess stoppen“, „Unter Quarantäne stellen“ oder „Rollback durchführen“ erfolgreich behoben wurde.
     
     Ein Vorfall erhält den Status Nicht abgeschwächt, wenn eine „Wiederherstellung aus einem Backup“ nicht erfolgreich abgeschlossen werden konnte – oder wenn mindestens eine Erkennung nicht durch eine Aktion vom Typ „Prozess stoppen“, „Unter Quarantäne stellen“ oder „Rollback durchführen“ behoben werden konnte.
     
     Sie können den Bedrohungsstatus außerdem manuell mit Abgeschwächt oder Nicht abgeschwächt festlegen. Wenn Sie einen der beiden Statuszustände auswählen, werden Sie aufgefordert, einen Kommentar einzugeben. Dieser Kommentar wird als Bestandteil der Untersuchungsaktivitäten gespeichert und kann auf der Registerkarte Aktivitäten eingesehen werden. Beachten Sie, dass die EDR-Funktionalität den Bedrohungsstatus weiterhin auf Abgeschwächt or Nicht abgeschwächt zurücksetzen kann, wenn neue Erkennungen für den Vorfall entdeckt wurden oder Antwortaktionen durchgeführt und erfolgreich abgeschlossen wurden.
   • Vorfallsschweregrad: Kritisch, Hoch oder Mittel. Weitere Informationen finden Sie im Abschnitt „Vorfälle in der Vorfallliste überprüfen“.
   • Aktuelles Untersuchungsstadium: Eines der Stadien Wird untersucht, Nicht gestartet (das Standardstadium), Falsch-positiv oder Geschlossen. Sie sollten das Stadium ändern, wenn Sie mit der Untersuchung eines Vorfalls beginnen, um andere Kollegen über alle Änderungen am Vorfall zu informieren.
   • Positivitätslevel: Gibt mit einem Wertebereich von 1-10 an, wie wahrscheinlich es sich bei einem Vorfall tatsächlich um einen schädlichen Angriff handelt. Weitere Informationen dazu finden Sie im Abschnitt „Vorfälle in der Vorfallliste überprüfen“.

   • Vorfallstyp: Wenn eins oder mehrere von Ransomware erkannt, Malware erkannt, Verdächtiger Prozess erkannt, Schädlicher Prozess erkannt, Microsoft Defender-Erkennung, Verdächtige URL blockiert oder Schädliche URL blockiert zutreffen.

     Wenn Microsoft Defender Antivirus anstelle des Acronis Echtzeitschutz für den Echtzeitschutz aktiviert ist, werden nur die Vorfallstypen Microsoft Defender-Erkennung, Verdächtige URL blockiert und Schädliche URL blockiert angezeigt.

   • Wenn Managed Detection & Response (MDR) auf dem Workload aktiviert wurde, wird ein Feld MDR-Ticket angezeigt. Sie können die Details des für den Vorfall erstellten MDR-Tickets (inkl. dem MDR-Sicherheitsanalysten, der dem Vorfall zugewiesen wurde) einsehen.

     

   • Wann der Vorfall erstellt und aktualisiert wurde: Datum und Uhrzeit, als der Vorfall erkannt wurde, oder wann der Vorfall zuletzt aktualisiert wurde, weil neue Erkennungen innerhalb des Vorfalls erfasst wurden.

     

4. Klicken Sie auf die Registerkarte Legend, um die verschiedenen Knoten einzusehen, aus denen sich das Kill Chain-Diagramm zusammensetzt, und bestimmen Sie, welche Knoten angezeigt werden sollen. Weitere Informationen finden Sie im Abschnitt „Die Cyber Kill Chain-Ansicht verstehen und anpassen“.
5. Sie können den Vorfall untersuchen und beheben, indem Sie die nachfolgenden Schritte durchführen. Beachten Sie, dass dies ein typischer Arbeitsablauf für die Untersuchung und Behebung eines Vorfalls ist. Je nach Vorfall und Ihren eigenen Anforderungen kann dieser Ablauf jedoch variieren.
   1. Untersuchen Sie jeden Abschnitt des Angriffs auf der Registerkarte Angriffsphasen. Weitere Informationen finden Sie im Abschnitt „Die Angriffsphasen eines Vorfalls untersuchen“.

   2. Klicken Sie auf Gesamten Vorfall beheben, um die Behebungsmaßnahme anzuwenden. Weitere Informationen dazu finden Sie unter Einen gesamten Vorfall beheben. Sie können auch einzelne Knoten in der Cyber Kill Chain beheben, wie unter Antwortaktionen für einzelne Cyber Kill Chain-Knoten beschrieben.

      Sie können auch auf Copilot klicken, um den Chat mit Acronis AI zu starten. Acronis AI stellt Ihnen in Abhängigkeit vom jeweiligen Vorfall passende Gegenmaßnahmen („Antwortoptionen“) und relevante Kontextinformationen für den Vorfall zur Verfügung, wie z.B. Details über die Art des Angriffs. Sie können die passende Antwortoption auswählen und dann die Bildschirmanweisungen befolgen. Eine Beschreibung dieser Antwortoptionen finden Sie unter Antwortaktionen für einzelne Cyber Kill Chain-Knoten.

      

      Es gibt ein monatliches Limit von 1000 Anfragen pro Partner-Mandant, wenn der Copilot verwendet wird. Wenn dieses Limit erreicht ist, wird eine Fehlermeldung angezeigt, die Sie darüber informiert, dass Sie die monatliche Beschränkung überschritten haben.
   3. Überprüfen Sie die zur Abschwächung des Vorfalls vorgenommenen Maßnahmen auf der Registerkarte Aktivitäten. Weitere Informationen dazu finden Sie unter Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden.

Die Cyber Kill Chain-Ansicht verstehen und anpassen

Wenn Sie mehr über die betroffenen Knoten in der Cyber Kill Chain erfahren wollen, greifen Sie auf die Legende zu. In der Legende werden alle an einem Vorfall beteiligten Knoten aufgeführt. So können Sie ermitteln, wie die verschiedenen Knoten durch den Angreifer beeinträchtigt wurden. Sie können auch festlegen, welche Knoten Sie in der Cyber Kill Chain ausblenden oder angezeigt haben wollen.

So können Sie auf die Legende zugreifen

1. Klicken Sie rechts neben dem Legenden-Bereich auf das Pfeilsymbol.

   Der Legenden-Bereich wird (wie unten gezeigt) erweitert.

   

2. Anhand der vier in der Legende verwendeten Hauptfarben (wie unten dargestellt) können Sie schnell erkennen, was mit jedem Knoten in der Cyber Kill Chain passiert ist. Diese farbcodierten Knoten sind auch in den Angriffsphasen enthalten, wie im Abschnitt „Die Angriffsphasen eines Vorfalls untersuchen“ erläutert.

   

So können Sie Knoten in der Cyber Kill Chain ausblenden oder anzeigen

1. Stellen Sie sicher, dass im erweiterten Legenden-Bereich das Symbol neben den Knoten zu sehen ist, die Sie in der Cyber Kill Chain anzeigen wollen. Sollte es sich bei dem angezeigten Symbol um handeln, dann klicken Sie auf das Symbol, um es zu zu ändern.
2. Wenn Sie einen Knoten in der Cyber Kill Chain ausblenden wollen, klicken Sie auf . Das Symbol wird daraufhin zu geändert und der Knoten wird nicht mehr in der Cyber Kill Chain angezeigt.