Eine Computeruntersuchung erstellen

Gilt für: WatchGuard Advanced EPDR

Sie können eine Computeruntersuchung für einen Computer an einem konkreten Tag erstellen und dann die Details der überwachten und gesammelten Ereignisse, die eingetreten sind, überprüfen.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computer hinzufügen, suchen und löschen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So erstellen Sie eine Computeruntersuchung in der Endpoint Security-Verwaltungsoberfläche:

  1. Um Computerdetails zu öffnen, wählen Sie Computer und wählen dann einen Computer aus.
    Die Computeruntersuchung für den ausgewählten Computer wird geöffnet.
  2. Um eine Computeruntersuchung für einen anderen Computer zu erstellen, klicken Sie auf der Seite Untersuchung auf .

    3. Screenshot of Computer Investigation menu option

  3. Wählen Sie Computeruntersuchung.
    Die Seite Computer untersuchen wird geöffnet.

    4. Screenshot of Investigate Computer page

  4. Wählen Sie das Kontrollkästchen MUID oder Computername und geben Sie die unverwechselbare Kennung oder den Windows-Computernamen in das Textfeld fein.
  5. Wählen Sie in den Textfeldern Von Startdatum und Startzeit für die Untersuchung aus.
  6. Wählen Sie in den Textfeldern Bis Enddatum und -zeit für die Untersuchung aus.

    7. Der Datumsbereich darf zwei Tage nicht überschreiten. Sie können ein Datum auswählen, das bis zu sieben Tage in der Vergangenheit liegt.

  7. Wählen Sie aus der Dropdown-Liste Zeitzone die Zeitzone.
  8. Klicken Sie auf OK.
    Es wird eine Computeruntersuchung erstellt.

Bei einer Computeruntersuchung können Sie Folgendes tun:

Die Details der untersuchten Ereignisse stehen in einer Liste zur Verfügung.

Die erste Spalte (#) in der Liste zeigt ein Symbol, das den Typ des protokollierten Ereignisses darstellt.

Symbol Ereignis
Prozess erstellt
Ausführbare Datei bearbeitet
Ausführbares Programm gelöscht
Verzeichnis erstellt
Komprimierte Datei geöffnet
Auf eine ausführbare Datei zeigender Registrierungseintrag bearbeitet
Exploit erkannt
Datei heruntergeladen
Unbekannter Prozess blockiert, weil es auf dem Computer keine interaktive Sitzung gibt
Registry-Operation
Skriptdatei ausgeführt
Menge der über das Netzwerk übermittelten Daten
DNS-Auflösung fehlgeschlagen
Der WatchGuard Agent zeigt eine Popup-Meldung auf dem Benutzer-Computer an
Ende einer interaktiven Sitzung auf dem Computer
Internes administratives Ereignis
Von einer ausführbaren Datei durchgeführte Operation ohne Protokollierung der Erstellung
Remote-Prozess erstellt
Ausführbare Datei erstellt
Bibliothek geladen
Ausführbare Datei bearbeitet
Komprimierte Datei erstellt
Auf eine ausführbare Datei zeigender Registrierungseintrag erstellt
Remote-Prozess-Thread erstellt
Nicht klassifiziertes Ereignis
Netzwerkoperation
Dokument geöffnet
Skriptdatei erstellt
Bedrohung erkannt
SYSMON hat ein Windows Management Instrumentation (WMI)-Ereignis protokolliert, das die Einstellungen des Computer-Betriebssystems verändert hat
Gerätekontrolloperation
Beginn einer interaktiven Sitzung auf dem Computer
Von der auf dem Computer installierten WatchGuard Endpoint Security ergriffene Aktion
Computer neu gestartet
WatchGuard Endpoint Security hat eine ausführbare Datei erkannt, deren Erstellung aufgrund eines vorübergehenden Problems oder weil die Datei vor Installation der Sicherheitssoftware schon existierte nicht protokolliert wurde

Informationen über die Informationen der Ereignisse finden Sie unter Felder in den von Cytomic Orion empfangenen Ereignissen (externer Link).

Sie können Gruppen von Elementen auf Basis der Werte in einer ausgewählten Spalte erstellen.

So erstellen Sie Gruppen:

  • Ziehen Sie eine Spalte zur Leiste Zum Festlegen von Zeilengruppen hierher ziehen.

Um detaillierte, für ein spezifisches Ereignis gesammelte Telemetrie und Informationen von MITRE anzuzeigen, können Sie Folgendes tun:

  • Wählen Sie ein Ereignis aus.
  • Klicken Sie mit der rechten Maustaste auf ein Ereignis und wählen Sie eine der folgenden Optionen aus:
    1. Computer mit übergeordneter Datei anzeigen
    2. Computer mit untergeordneter Datei anzeigen
    3. Statische Informationen für übergeordnete Datei anzeigen
    4. Statische Informationen für untergeordnete Datei anzeigen
    5. Diagramme
      Weitere Informationen zu Diagrammen finden Sie unter Fenster Untersuchungsdiagramm.

Screenshot of the Event Details in the Investigation Tab

Sie können die MITRE-Details nur für Computer anzeigen, die den ausführlichen Modus aktiviert haben. Weitere Informationen zum ausführlichen Modus finden Sie unter Ausführlicher Modus konfigurieren.

Spalten der Liste Ereignisdetails ändern

Sie können die Spalten und die Reihenfolge der Spalten in der Liste ändern.

So blenden Sie Spalten in der Liste ein bzw. aus:

  1. Klicken Sie auf der Seite Untersuchung auf Spalten.
    Es wird eine Liste von Spalten angezeigt, ein ein- oder ausgeblendet werden können.

    2. Screenshot of the Columns screen to change the items in the list

  2. Um ein Ereignisdetail in die Liste einzubeziehen, aktivieren Sie das Kontrollkästchen der Spalte, die Sie in der Liste anzeigen wollen.
    Die Spalte wird in der Liste angezeigt.
  3. Um ein Ereignisdetail zu entfernen, deaktivieren Sie das Kontrollkästchen für die Spalte.
    Die Spalte wird aus der Liste entfernt.
  4. Um die Reihenfolge der Spalten zu ändern, ziehen Sie den Ereignisparameter in der Liste nach oben oder unten.

Auf der Seite Untersuchung können Sie die farbigen Label der Ereigniskategorien und die Gesamtzahl der protokollierten Ereignisse auf dem untersuchten Computer zum angegebenen Datum und zur angegebenen Uhrzeit anzeigen.

Screenshot of the Information Bar on the Investigation Tab

Klicken Sie auf ein Label, um ein bewegliches Fenster zu öffnen, das die Ereignisse für das ausgewählte Label anzeigt.

Sie können die folgenden Ereignis-Label anzeigen:

  • Detections — Von der auf der Workstation oder dem Server installierten Sicherheitssoftware generierte Bedrohungserkennungsereignisse.
  • UserNotifications — Ereignisse, die die Sicherheit des Computers beeinträchtigen können und eine Maßnahme des Benutzers erfordern.
  • RemediationOps — Ereignisse, die erfordern, dass die Sicherheitssoftware auf dem Computer eine Aktion ergreift.
  • Indicators — Generierte Indikatoren.

Im Abschnitt Filter können Sie Ihre Ergebnisse filtern und nach einem spezifischen Ereignis suchen.

Screenshot of the Filter tab on the Investigation Tab

Sie können die folgenden Parameter angeben, um Ereignisse zu filtern und zu suchen:

  • Computer — Zeigt Name oder MUID des untersuchten Computers.
  • MD5 — Zeigt MD5 der bei der Untersuchung analysierten Datei.
  • Datum — Zeigt den Zeitraum für die Untersuchung. Wenn Sie auf die Textfelder klicken, wird ein Kalender für das Ändern des Datumsbereichs angezeigt. Der maximale Zeitraum beträgt 48 Stunden.
  • Zeitzone — Legt eine Zeitzone für die Suche fest. Ergebnisse werden im mittleren Fenster mit der von Ihnen definierten Zeitzone angezeigt.

    • Der Datumsbereich darf zwei Tage nicht überschreiten. Sie können ein Datum auswählen, das höchstens sieben Tage in der Vergangenheit liegt.

  • Ergebnisse — Filtert die Ereignisliste anhand des von Ihnen in das Textfeld eingegebenen Inhalts. Suchen werden in allen Spalten der Einträge in der Liste durchgeführt. Sie können nur eine Teilzeichenfolge eingeben.
  • Taktik — Um nach Taktik zu filtern, geben Sie einen Teil des Taktiknamens ein oder klicken Sie auf . Es wird eine Liste der mit den Ereignissen in der Liste in Verbindung stehenden Taktiken angezeigt.
  • Technik/Untertechnik — Um nach Technik oder Untertechnik zu filtern, geben Sie einen Teil des Technik- bzw. Untertechniknamens ein oder klicken Sie auf . Es wird eine Liste der mit den Ereignissen in der Liste in Verbindung stehenden Techniken bzw. Untertechniken angezeigt.
  • Indikator hinzufügen — Um nach Indikator zu filtern, geben Sie einen Teil des Indikatornamens ein oder klicken Sie auf . Es wird eine Liste der mit den Ereignissen in der Liste in Verbindung stehenden Indikatoren angezeigt.
  • Optionen — Aktiviert bzw. deaktiviert den Zeitstrahl der Ereignisse und den Prozessbaum.
    Informationen über den Zeitstrahl der Ereignisse finden Sie unter Ereignisdiagramme anzeigen.
    Informationen über den Prozessbaum finden Sie unter Prozessbaum.

Auf der Seite Untersuchung können Sie die Anzahl der Ereignisse grafisch anzeigen, die in der jeweiligen Zeiteinheit eingetreten sind.

Screenshot of the event graph

In den Diagrammen können Sie Folgendes tun:

  • Zeigen Sie mit Ihrer Maus auf das Diagramm, um die Anzahl der Ereignisse zu sehen, die zu einer spezifischen Zeit eingetreten sind.
  • Ziehen Sie die Leiste nach links oder rechts, um das Intervall für die im Diagramm gezeigte Aktivität zu ändern.
  • Klicken Sie auf eine beliebige Stelle des Diagramms und ziehen Sie mit der Maus, um ein neues Fenster zur Anzeige der Aktivität zu definieren. Das Diagramm wird mit einem neuen Zoomniveau und einem neuen Zeitraum für die verfügbaren Daten aktualisiert.

So zeigen Sie die Diagramme an:

  • Aktivieren Sie im Abschnitt Filter das Kontrollkästchen Zeitstrahl.

Screenshot of the timeline setting in Filters section

Der Prozessbaum zeigt die Hierarchie aller auf dem Computer ausgeführten Prozesse.

Screenshot of the process tree

So zeigen Sie den Prozessbaum an:

  • Aktivieren Sie im Abschnitt Filter das Kontrollkästchen Prozessbaum.

Screenshot of the process tree setting in Filters section

Auf dem Prozessbaum können Sie Folgendes tun:

  • Einen Prozess erweitern, um die Unterprozesse anzuzeigen.
  • Einen Prozess auswählen, um ein mit einem Prozess verknüpftes Ereignis zu finden.
  • Die Baumzweige einklappen oder erweitern.
  • Den Prozessbaum filtern.

Ähnliche Themen

Über das Tool Erweiterte SQL-Abfrage

Ausführlicher Modus konfigurieren