Angriffsindikatoren-Liste

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.

Die Angriffsindikatoren-Liste zeigt Details über die von Endpoint Security auf Workstations und Servern erkannten IOA.

Jeder IOA bezieht sich auf einen einzelnen Computer und IOA-Typ. Wenn dieselbe Reihenfolge verdächtiger Ereignisse auf mehreren Computern eintritt, generiert Endpoint Security einen separaten IOA für jeden Computer. Wenn auf demselben Computer innerhalb einer Stunde dasselbe Muster mehrmals erkannt wird, werden mindestens zwei IOA generiert - eines bei der erstmaligen IOA-Erkennung und eine je Stunde, die die Zahl der Fälle in dieser Stunde angibt.

Über das Optionen-Menü () in den Zeilen für die einzelnen Computer können Sie:

• IOA archivieren
• Angriffsindikatoren als ausstehend markieren
• Die auf dem Computer erkannten IOAs anzeigen
• Computer, auf denen der IOA erkannt wurde, anzeigen

Die Angriffsindikatoren-Liste filtern

Filtern der Angriffsindikatoren-Liste und Öffnen der Angriffsdetails:

1. Klicken Sie auf Filter.

2. Geben Sie die Parameter an, nach denen die Ergebnisse gefiltert werden sollen.
   • Risiko — Auswirkung des erkannten IOA (Kritisch, Hoch, Mittel, Niedrig, Unbekannt).
   • Aktion — Art der von WatchGuard Endpoint Security bei Brute-Force-Angriffen gegen RDP IOAs getätigten Aktion (Gemeldet, Angriff blockiert).
   • Taktik — Kategorie der Angriffstaktik, die den IOA generiert hat, der MITRE-Matrix zugeordnet.
   • Daten — Zeitraum, in dem der IOA generiert wurde.
   • Status — Status des IOA (Archiviert oder ausstehend). Archivierte IOAs erfordern nicht länger die Aufmerksamkeit des Administrators, weil es sich um eine falsch positive Diagnose gehandelt hat oder das Problem behoben wurde.Ausstehende IOAs wurden vom Administrator noch nicht untersucht.
   • Angriffsindikator — Name der Richtlinie, die das Ereignismuster erkennt, welche den IOA ausgelöst hat. Nutzen Sie Alle auswählen oder suchen und wählen Sie die IOA aus, nach denen Sie die Liste filtern möchten.
   • Technik — Kategorie (und Unterkategorie falls verfügbar) der Angriffstechnik, die den der MITRE-Matrix zugeordneten IOA generiert hat (z. B. T1012 - Query Registry). Sie können nach mehr als einer Technik suchen und diese auswählen.
3. Klicken Sie auf Filter.
   Um die Liste als CSV-Datei zu exportieren, klicken Sie .
4. Um die IOA-Details für einen Computer anzuzeigen, wählen Sie den Computer in der Liste.
   Weitere Informationen finden Sie unter Angriffsindikatoren-Details.

Ähnliche Themen

Angriffsindikatoren (IOAs)

Angriffsindikatoren-Dashboard

Angriffsindikatoren-Details