Über die Galerie der Kompromittierungsindikatoren

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt.

Auf der Seite Galerie der Kompromittierungsindikatoren können Sie IOCs manuell hinzufügen oder im STIX-Format importieren. Informationen zum Hinzufügen eines IOC finden Sie unter IOCs verwalten. Informationen zum Importieren und Exportieren von IOCs finden Sie unter Importieren und Exportieren von IOCs.

In der Tabelle auf der Seite Einstellungen > Galerie der Kompromittierungsindikatoren sind alle importierten und erstellten Kompromittierungsindikatoren aufgeführt. Sie können die Tabelle nach IOC-Typ filtern:

• STIX (Genehmigung ausstehend) — Der IOC wurde von einer externen Quelle importiert und muss freigegeben werden, bevor er auf das von WatchGuard Advanced EPDR unterstützte Format aktualisiert wird. Weitere Informationen finden Sie unter IOCs verwalten.

• STIX — Der IOS wurde von einer externen Quelle importiert und wurde für die Verwendung bei der Suche nach Kompromittierungsindikatoren in WatchGuard Advanced EPDR freigegeben.

• Vom Benutzer erstellt — Der IOC wurde in WatchGuard Advanced EPDR erstellt. Er erfordert keine Freigabe für die Verwendung bei Suchvorgängen.

In jeder Zeile der Tabelle können Sie auf klicken und eine der folgenden Optionen wählen:

• Nach Kompromittierungsindikatoren suchen — Öffnet eine neue Aufgabe für die Suche nach Kompromittierungsindikatoren auf Ihren Computern. Weitere Informationen finden Sie unter Erstellen einer Suchaufgabe für Kompromittierungsindikatoren.
• Kopie eines IOC erstellen — Erstellt eine Kopie des gewählten IOC, die Sie anpassen können, um einen neuen IOC zu erstellen.
• Ursprüngliche STIX-Datei anzeigen — Öffnet die ursprüngliche STIX-Datei für einen IOC. Die Seite STIX-Datei zeigt eine grafische Darstellung sowie den Code des IOC. Weitere Informationen finden Sie unter Ursprüngliche STIX-Datei anzeigen.
• Erkennungen von Kompromittierungsindikatoren anzeigen — Öffnet die Liste Erkannte Kompromittierungsindikatoren. Weitere Informationen finden Sie unter Kompromittierungsindikatoren-Dashboard.
• Löschen — Löscht den gewählten IOC.
• Exportieren— Exportiert den gewählten IOC im JSON-Dateiformat.

Ursprüngliche STIX-Datei anzeigen

Wenn Sie eine STIX-Datei importieren, müssen Sie die Suchanweisung überprüfen und freigeben, bevor der IOC in einer Suchaufgabe verwendet werden kann.

Informationen zum Importieren von IOCs finden Sie unter Importieren und Exportieren von IOCs. Informationen zur Freigabe eines importierten IOC finden Sie unter IOCs verwalten.

Um die ursprüngliche STIX-Datei eines importierten IOC zu öffnen und den Code und die Aktionen zu überprüfen, klicken Sie auf und wählen Ursprüngliche STIX-Datei anzeigen.
Das Fenster STIX-Datei wird geöffnet.

Im Fenster STIX-Datei können Sie Folgendes tun:

• Ziehen Sie Elemente im Diagramm an andere Stellen.

• Klicken Sie auf Legende, um eine Erklärung für jedes Symbol im Diagramm angezeigt zu bekommen.

• Klicken Sie auf Visualisierung und Code, um die grafische Darstellung oder eine Code-Definition des IOC zu überprüfen. Sie können den IOC-Code kopieren.

Obwohl der IOC-Code so angezeigt wird, wie er importiert wurde, könnte Advanced EPDR Teile auslassen, die mit dessen Implementierung nicht kompatibel sind. Die Suchergebnisse könnten nicht wie erwartet angezeigt werden.

Related Topics

IOCs verwalten

Über die Formate der Kompromittierungsindikatoren

Erstellen einer Suchaufgabe für Kompromittierungsindikatoren