Über Knoten und Pfeile in Untersuchungsdiagrammen

Gilt für: WatchGuard Advanced EPDR

Das Fenster Untersuchungsdiagramm verwendet Farben, Informationsfelder und andere Ressourcen, um Informationen über Einheiten und deren Beziehungen untereinander bereitzustellen. Endpoint Security verwendet die Vorlage Prozessbaum, um diese Informationen in Diagrammen darzustellen. Diese Vorlage ist eine grafische Abbildung des Ausführungsbaums für einen spezifischen Prozess, in dem Knoten Einheiten darstellen, die an einer Operation beteiligt sind (wie Prozesse, Dateien oder Kommunikations- oder Operationsziele). Die Pfeile stellen Operationen dar.

Dies sind die verschiedenen Eigenschaften eines Diagramms:

  • Knotenfarben und -symbole — Klassifiziert einen Knoten auf Basis der Bedrohungseinheiten, die an einer Operation beteiligt sind, und der für das Element ausgeführten Aktion.
  • Pfeilfarben und -stile — Zeigt an, ob das Element blockiert wurde oder nicht, die Anzahl und Richtung der zwischen den Knoten ausgeführten Aktionen und die Informationen über den Prozess.

Knotenfarben und -symbole

Das Label auf einem Knoten gibt den Namen der Einheit an. Wenn Sie auf eine Entität klicken, dann wird rechts ein Informationsfeld mit Informationen über die Entität geöffnet. Die Knotenfarbe zeigt den Typ der Bedrohung an.

Farbe Beschreibung

Malware-Symbol

Element ist als Malware klassifiziert.

Element ist als PUP, verdächtiges oder nicht klassifiziertes Element klassifiziert.

(Originalfarbe)

Element ist als Goodware klassifiziert.

Knotensymbole stellen die verschiedene Entitäten dar, die an einer Operation beteiligt sind.

Symbol Beschreibung Symbol Beschreibung

Prozess. Wenn es zu einem bekannten Software-Paket gehört, wird das Prozess-Symbol angezeigt.

Komprimierte Datei

Remote-Thread

Ausführbare Datei

Bibliothek

Skriptdatei

Schutz

Windows Registry-Zweigwert

Ordner

In einer Kommunikation verwendete URL

Nicht ausführbare Datei

IP-Adresse in einer Kommunikation

Status-Symbole zeigen die für ein Element ergriffene Aktion an.

Symbol Beschreibung Symbol Beschreibung

Datei gelöscht

Datei in Quarantäne gestellt

Datei desinfiziert

Prozess gelöscht

Pfeilfarben und -stile

Das Label auf einem Pfeil zeigt den Namen der vom Prozess ergriffenen Aktion an. Wenn Sie auf das Label klicken, beschreibt ein Informationsfenster das Ereignis, das stattgefunden hat.

Die Farbe der Pfeile zeigt an, ob Endpoint Security die Aktion blockiert oder zugelassen hat.

  • Rot — Die Aktion wurde als Bedrohung klassifiziert und von der Schutz‭software blockiert.
    • Block
    • BlockTimeout
    • BlockExploit
    • BlockBL
    • Disinfect
    • Delete
    • Quarantine
    • KillProcess
    • IPBlocked
  • Schwarz — Die Aktion wurde zugelassen.

Pfeilstile

  • Die Zahlen auf dem Pfeil geben die Reihenfolge an, in der das Ereignis erfasst wurde. Der Pfeilstil zeigt die Anzahl und Richtung der zwischen den Knoten ausgeführten Aktionen an. Dies umfasst:

    • Pfeilstärke — Stellt dar, wie oft derselbe Aktionstyp zwischen zwei Knoten ausgeführt wurde. Je größer die Anzahl der Aktionen, desto breiter ist der Pfeil. Wenn Sie auf einen Pfeil klicken, zeigt das Informationsfenster das Datum an, an dem die ersten und letzten Aktionen in der Gruppe stattgefunden haben.

    • Pfeilrichtung — Zeigt die Richtung der Aktion an.

    Standardanzeige

    Standardmäßig wird das Diagramm horizontal mit dem ausgewählten Knoten in der Mitte des Diagramms angezeigt. Er wird von einer Teilmenge der Knoten umgeben, die mit diesem Knoten in Verbindung stehen:

    • Das Diagramm zeigt drei Ebenen von Knoten über dem Hauptknoten an.
    • Das Diagramm zeigt eine Ebene von Knoten unter dem Hauptknoten an.

    Das Diagramm kann bis zu höchstens 25 Knoten auf derselben Ebene anzeigen. Wenn es mehr als 25 Knoten gibt, zeigt das Diagramm keine Knoten.

    Untergeordnete Knoten anzeigen

    Das Symbol M unten links auf einem Knoten zeigt an, dass der Knoten ausgeblendete untergeordnete Knoten hat. Um untergeordnete Knoten anzuzeigen, klicken Sie mit der rechten Maustaste auf den Knoten. Wählen Sie im dann angezeigten Menü eine der folgenden Optionen::

    • Übergeordnete anzeigen — Zeigt die übergeordneten Knoten des ausgewählten Knoten.
    • Alle Aktivitäten anzeigen (Zahl) — Zeigt alle untergeordneten Knoten, unabhängig vom Typ. Es können höchstens 25 Knoten angezeigt werden. Die Gesamtzahl der Ereignisse, die den übergeordnete Knoten mit dem untergeordneten Knoten verbinden, wird ebenfalls angezeigt.
    • Untergeordnete Knoten anzeigen — Öffnet eine Dropdown-Liste. Wählen Sie den Typ der untergeordneten Knoten, die angezeigt werden sollen, und wählen Sie die Anzahl Knoten für jeden Typ. Zu den Knotentypen gehören:
      • Datendateien — Dateien mit nicht identifizierten Informationen.
      • Skriptdateien — Dateien mit Befehlssequenzen.
      • Downloads — Vom Internet oder Netzwerk heruntergeladene Datendateien.
      • DNS — Domänen, die die IP nicht lösen konnten.
      • Windows Registry-Einträge — In Windows durchgeführte Einträge der Registries.
      • Komprimierte Dateien — Komprimierte Datendateien.
      • PE-Dateien — Ausführbare Dateien.
      • Remote-Threads — Remote-Threads.
      • IPs — IP-Adressen für eines der Enden der Kommunikation.
      • Bibliotheken — Bibliotheken.
      • Prozesse — Prozesse.
      • Schutz — Von Virenschutz ergriffene Aktion.

    Wenn Sie mehrere Knoten im Diagramm auswählen und die rechte Maustaste drücken, werden nur Optionen, die auf alle ausgewählte Knoten zutreffen, im Menü angezeigt.

    Ähnliche Themen

    Fenster Untersuchungsdiagramm

    Diagrammeinstellungen konfigurieren