Mit dem Vorfalldiagramm (XDR) arbeiten

Wenn XDR aktiviert ist, erweitert das Vorfalldiagramm die Basislinie der EDR-Visualisierung um externe Knoten, die aus aktiven XDR-Integrationen stammen, wie beispielsweise Identitäts-, E-Mail- und Firewall-Daten. Diese externen Knoten liefern zusätzlichen Kontext zur Bedrohung und geben Aufschluss darüber, welche externen Konten oder Services betroffen waren.

Externe Knoten werden im Vorfalldiagramm nur angezeigt, wenn XDR-Integrationen aktiv sind. Sind keine Integrationen aktiv, wird im Vorfalldiagramm die EDR-Basislinienansicht angezeigt. Weitere Informationen finden Sie unter Mit dem Vorfalldiagramm (EDR) arbeiten.

Der Typ der im Diagramm angezeigten externen Knoten hängt von den aktiven XDR-Integrationen ab. Bei einer Integration mit der E-Mail-Sicherheit zeigt das Diagramm E-Mail-Knoten und Anhangsknoten an. Bei einer Integration mit dem Identitätsmanagement zeigt das Diagramm Identitätsknoten an, die mit Prozessen der betroffenen Workload verknüpft sind. Bei einer Integration mit Microsoft 365-Services zeigt das Diagramm Knoten für Kollaborationsapplikationen wie Teams, OneDrive und SharePoint an.

Weitere Informationen zu Knoten-Symbolen finden Sie unter Symbole im Vorfalldiagramm.

Verwenden Sie das Vorfalldiagramm, um:

Wenn Sie auf das Vorfalldiagramm zugreifen wollen, gehen Sie zuerst zu Schutz > Vorfälle, klicken Sie dann auf den relevanten Vorfall und anschließend auf die Registerkarte Vorfalldiagramm.

Klicken Sie auf , um den Inhalt des XDR-Vorfalldiagramms zu aktualisieren.

Die Registerkarte Vorfalldiagramm wird standardmäßig angezeigt, wenn XDR-Integrationen aktiv sind. Ist nur EDR aktiviert, ist die standardmäßige Startregisterkarte die Cyber Kill Chain. Weitere Informationen zur Aktivierung von XDR finden Sie unter Die XDR-Funktionalität (Extended Detection and Response) aktivieren.