Antwortaktionen auf Integrationsknoten anwenden

Im Vorfalldiagramm stehen Reaktionsmaßnahmen (Antwortaktionen) für Knoten zur Verfügung, die aus XDR-Integrationen stammen (wie etwa E-Mail-, Identitäts- und Firewall-Knoten). Mit diesen Antwortaktionen können Sie direkt auf Bedrohungen reagieren, indem Sie die Fähigkeiten der jeweiligen verbundenen Integration einsetzen können.

Reaktionsmaßnahmen (Antwortaktionen) im Vorfalldiagramm gelten nur für Integrationsknoten. EDR-Antwortaktionen (wie beispielsweise einen Prozess unter Quarantäne zu stellen oder einen Workload zu isolieren) sind über die Cyber Kill Chain verfügbar.

Einige EDR-Antwortaktionen sind derzeit nur über die Cyber Kill Chain verfügbar und sind nicht über das Vorfalldiagramm zugänglich.

So können Sie eine Antwortaktion auf einen Integrationsknoten anwenden

  1. Gehen Sie in der Cyber Protect-Konsole zu Schutz –> Vorfälle.
  2. Klicken Sie (innerhalb der angezeigten Vorfallsliste) in der ganz rechten Spalte des zu untersuchenden Vorfalls auf .
  3. Klicken Sie auf die Registerkarte Vorfalldiagramm.

  4. Navigieren Sie zu dem entsprechenden Integrationsknoten und klicken Sie auf diesen, damit die Seitenleiste für diesen Knoten angezeigt wird.

    Wenn es sich bei dem Knoten um einen gruppierten Knoten handelt (erkennbar an einer Nummer), werden die auf diesen Knoten angewendeten Antwortaktionen auf alle Unterknoten der Gruppe angewendet.
  5. Klicken Sie auf die Registerkarte Antwortaktionen.

  6. Klicken Sie bei der gewünschten Antwortaktion auf Ausführen.

    Die verfügbaren Antwortaktionen hängen von der Integration ab. Zum Beispiel:

    • FortiMail Workspace Security: Absender auf die Blockliste setzen.
    • Microsoft 365: Benutzersitzung beenden, erzwungene Kennwortzurücksetzung, Benutzer sperren.

    Antwortaktionen sind nicht für alle Integrationsknoten verfügbar. Zum Beispiel unterstützen Teams-Knoten keine Antwortaktionen.

    Wenn Sie auf Ausführen klicken, werden die anderen Antwortaktionen vorübergehend deaktiviert. Wenn die Aktion abgeschlossen wurde, werden die anderen Antwortaktionen wieder aktiviert.

  7. Klicken Sie auf die Registerkarte Vorfallaktivitäten, um alle Antwortaktionen anzuzeigen, die auf den Knoten angewendet wurden. Weitere Informationen finden Sie unter Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden.