Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden

Nachdem Sie einen Vorfall überprüft und den Angriffsverlauf untersucht haben, werden Sie typischerweise Antwortaktionen anwenden. Nachdem die Antwortaktionen angewendet wurden, können Sie diese an verschiedenen Stellen einsehen, um ein besseres Verständnis dafür zu erhalten, welche Schritte ergriffen wurden, um den Vorfall abzuschwächen.

Bei Vorfällen, die von Präventionsschichten erstellt wurden, werden automatisch die Aktionen angewendet, die im entsprechenden Schutzplan konfiguriert wurden. Bei Erkennungspunkten müssen Sie die entsprechenden Antwortaktionen definieren, um jedes Angriffsszenario abzuschwächen.

Zum besseren Verständnis der ergriffenen Maßnahmen können Sie sich alle Antwortaktionen anzeigen lassen, die auf einen gesamten Vorfall angewendet wurden. Alternativ können Sie sich diejenigen Aktionen anzeigen lassen, die nur auf einen bestimmten Knoten in der Cyber Kill Chain des Vorfalls angewendet wurden.

So können Sie sich alle Antwortaktionen anzeigen lassen, die auf einen Vorfall angewendet wurden

  1. Gehen Sie in der Cyber Protect-Konsole zu Schutz –> Vorfälle.
  2. Klicken Sie (innerhalb der angezeigten Vorfallsliste) in der ganz rechten Spalte des zu untersuchenden Vorfalls auf . Die Cyber Kill Chain für den ausgewählten Vorfall wird angezeigt.
  3. Klicken Sie auf die Registerkarte Aktivitäten.

    Die Liste der bereits auf den Vorfall angewendeten Antwortaktionen wird angezeigt. Jede Aktivität zeigt den Workload, auf dem sie ausgeführt wurde, da jede Antwortaktion genau einen Workload anvisiert.

    Wenn die Antwortaktion als Teil eines automatisierten Workflows eingeleitet wurde, wird im Feld Eingeleitet durch Automatisierter Workflow angezeigt. Weitere Informationen dazu finden Sie unter Mit automatisierten Workflows arbeiten.
  4. Sie können eine Reihe von Aktionen auf die angezeigte Liste anwenden:
    • Klicken Sie auf eine Zeile mit einem Aktivitätstyp, um sich weitere Informationen über die ausgewählte Aktivität anzeigen zu lassen. Die Informationen werden (wie in Schritt 3 gezeigt) in einer Seitenleiste angezeigt und enthalten Details darüber, wer die Aktion ausgelöst hat, wie deren Status lautet, auf welche Workload sie abzielt, den Dateipfad sowie etwaige Kommentare des Auslösers.
    • Sie können das Feld Suchen verwenden, um eine bestimmte Aktion zu finden.
    • Klicken Sie auf Filter, wenn Sie bestimmte Filter auf die Liste anwenden wollen.
    • Aktivieren Sie das Kontrollkästchen Nach betroffener Entität gruppieren, damit die relevanten Aktionen nach der jeweiligen Entität gruppiert werden.
    • Klicken Sie auf , wenn Sie die Liste der abgeschlossenen Aktionen ein- bzw. wieder ausblenden wollen.

      Stellen Sie sicher, dass das Symbol neben den Aktionen aufgeführt ist, die Sie anzeigen wollen. Wenn Sie eine Aktion aus der angezeigten Liste ausblenden wollen, müssen Sie erneut auf das Symbol klicken, damit es zu geändert wird.

So können Sie sich die Antwortaktionen anzeigen lassen, die auf einen bestimmten Knoten angewendet wurden

  1. Klicken Sie in der Cyber Kill Chain auf einen Knoten, damit die Seitenleiste für diesen Knoten angezeigt wird.
  2. Klicken Sie auf die Registerkarte Aktivitäten.

  3. Wenn Sie ein umfassendes Verständnis darüber erhalten wollen, welche Aktionen angewandt wurden und warum dies erfolgte, müssen Sie ggf. durch die angewendeten Antwortaktionen für diesen Knoten blättern. Bei Remote-Desktop-Verbindungen können Sie beispielsweise einsehen, wer die Aktion gestartet hat und wann dies erfolgte, wie lange die Aktion gedauert hat und welchen Gesamtstatus sie hatte (ob sie erfolgreich war, fehlgeschlagen ist oder mit Fehlern abgeschlossen wurde).

    Wenn die Antwortaktion als Teil eines automatisierten Workflows eingeleitet wurde, wird im Feld Eingeleitet durch Automatisierter Workflow angezeigt. Weitere Informationen dazu finden Sie unter Mit automatisierten Workflows arbeiten.