Angriffsindikatoren-Details

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Um die Detailseite für einen IOA zu öffnen, klicken Sie in der Angriffsindikatoren (IOA)-Liste auf eine Computerzeile.

Screen shot of WatchGuard Endpoint Security, Indicators of Attack list

Auf der Detailseite finden Sie eine Beschreibung des IOA und der empfohlenen Aktionen. Sie können den IOA auch archivieren. Informationen zum Archivieren von IOAs finden Sie unter Angriffsindikatoren archivieren.

Screen shot of WatchGuard Endpoint Security, Details page

Im Abschnitt Benachrichtigungen der Seite finden Sie folgende Informationen:

  • Erkennungsdatum — Datum und Uhrzeit, zu der WatchGuard Endpoint Security den IOA auf der Workstation oder dem Server erkannt hat. Angezeigt in der Zeitzone des Benutzers.
  • Angriffsindikator — Name des Angriffsindikator.
  • Risiko — Risikograd des Angriffsindikator (Kritisch, Hoch, Mittel, Niedrig, Unbekannt)
  • Beschreibung — Beschreibung der auf dem Computer erkannten Reihenfolge von Ereignissen und der Konsequenzen, die es haben könnte, falls der Angriff sein Ziel erreicht.
    • Um eine Beschreibung der auf dem betroffenen Computer angewandten Taktiken und Techniken zu sehen, klicken Sie auf Erweiterte Angriffsuntersuchung. Eine neue Registerkarte mit dem Bericht wird geöffnet. Berichte sind nach Generierung des IOA einen Monat lang verfügbar. Der Bericht zeigt auch Ereignisse, die während der 30 Tage vor der Erkennung des IOA Teil des Angriffs sind.

    • Wenn mit dem IOA ein Diagramm verbunden ist, klicken Sie auf Angriffsdiagramm anzeigen, um ein interaktives Diagramm mit der Reihenfolge von Ereignissen zu sehen, die zur Generierung des IOA geführt haben. Weitere Informationen finden Sie unter Über Angriffsdiagramme.

  • Aktion — Ty der von Endpoint Security durchgeführten Aktion.
  • Empfehlungen — Vom WatchGuard Sicherheitsteam für den Administrator empfohlene Maßnahmen.

Angriffsindikatoren-Detailabschnitt

Der Abschnitt Angriffsindikatoren-Details zeigt die betroffenen Computer, die Anzahl der erkannten Fälle und Datum und Uhrzeit des letzten Ereignisses. Nur bei Advanced EPDR gibt es eine Registerkarte Details und eine Registerkarte Untersuchung. Um die Seite Computerdetails zu öffnen, klicken Sie auf den Computernamen.

Screen shot of WatchGuard Endpoint Security, Indicators of Attack details

Um die Seite Aktivität von der Seite Details aus zu öffnen, klicken Sie auf Alle Details der Aktivität anzeigen. Informationen zur Seite Aktivität finden Sie unter Registerkarte Aktivität.

Um die Seite Untersuchung von der Seite Details aus zu öffnen, klicken Sie auf Computeruntersuchung öffnen oder auf die Registerkarte Untersuchung. Informationen über die Seite Untersuchung finden Sie unter Computer-Telemetrie auf der Seite Untersuchung.

Screen shot of WatchGuard Endpoint Security, Indicators of Attack details for AEPDR

Das Textfeld Weitere Details bietet Daten im JSON-Format mit Feldern, die für das Ereignis, das zur Generierung des IOA geführt hat, relevant sind.

MITRE-Abschnitt

Der MITRE-Abschnitt der Seite zeigt Details des Angriffs, der MITRE ATT&CK-Matrix zugeordnet.

Screen shot of WatchGuard Endpoint Security, Mitre details

Für jeden Angriff stehen die folgenden Details zur Verfügung:

  • Taktik — Kategorie der Angriffstaktik, die den IOA generiert hat, der MITRE-Matrix zugeordnet. Klicken Sie auf die Taktik, um ein neues Fenster mit detaillierten MITRE-Informationen zur Taktik zu öffnen.
  • Technik / Untertechnik — Kategorie und Unterkategorie (falls zutreffend) der Angriffstechnik, die den der MITRE-Matrix zugeordneten IOA generiert hat (z. B. T1012 - Query Registry). Klicken Sie auf die Technik, um ein neues Fenster mit detaillierten MITRE-Informationen zur Technik zu öffnen.
  • Plattform — Betriebssystem und Umgebungen, in denen MITRE diese Art Angriff zuvor erfasst hat.
  • Erforderliche Berechtigungen — Berechtigungen, die für die Ausführung des Angriffs erforderlich sind.
  • Beschreibung — Details der von dem erkannten IOA verwendeten Taktiken und Techniken, gemäß der MITRE-Matrix.

Registerkarte Aktivität

Erweiterte Angriffsindikatoren sind nur mit Windows-, Linux- und Mac-Computern kompatibel.

Die IOA-Detailseite für Endpoints mit WatchGuard Advanced EPDR beinhaltet jeweils eine Registerkarte Details, Aktivität und Untersuchung. Die Informationen auf der Seite Details werden im vorherigen Abschnitt beschrieben. Informationen über die Seite Untersuchung finden Sie unter Computer-Telemetrie auf der Seite Untersuchung.

Auf der Seite Aktivität sehen Sie die erkannten Aktionen für den IOA, nämlich wann die Aktivität erkannt wurde, sowie die MITRE-Technik.

  • Datum — Wann Advanced EPDR die Aktion erkannt hat. Angezeigt in der Zeitzone des Benutzers.
  • Aktion — Die von Advanced EPDR erkannte Aktion.
  • Technik / Untertechnik — Die MITRE-Technik (und Untertechnik, falls verfügbar). Die MITRE-ID und der Name (z. B. T1012 - Query Registry) sind in der Bezeichnung aufgeführt. Untertechniken beziehen sich auf die Prozesse oder Mechanismen, die ein Gegner einsetzt, um ein taktisches Ziel zu erreichen. Password Spraying zum Beispiel ist eine Art Brute-Force-Angriff mit dem Ziel, durch Erraten Zugriff auf Zugangsdaten zu erlangen.

Klicken Sie auf eine Zeile in der Tabelle, um detaillierte Informationen (z. B. Ereignistyp, Informationen zu über- und untergeordneten Objekten) im Dialogfeld Ereignisdetails anzuzeigen. Auf der Registerkarte MITRE können Sie detaillierte MITRE-Informationen (z. B. Taktik, Technik, Untertechnik und Beschreibung) einsehen.

Ähnliche Themen

Angriffsindikatoren (IOAs)

Angriffsindikatoren als ausstehend markieren

Angriffsindikatoren archivieren