MDR-Untersuchungen überprüfen

Gilt für: WatchGuard Core MDR Dieses Thema gilt für den verwalteten Dienst von WatchGuard Core MDR., WatchGuard Core MDR for Microsoft Dieses Thema gilt für den verwalteten Dienst von WatchGuard Core MDR for Microsoft.

Die Seite Untersuchungen im Verwaltete Dienste-Portal zeigt eine Liste der MDR-Warnmeldungen für Ihr Konto an. Untersuchungen sind eine Kombination aus automatisierten und manuellen Warnmeldungen, die WatchGuard Ihrem Team zu wichtigen Maßnahmen sendet, die das WatchGuard SOC-Team zum Schutz Ihrer Umgebung ergriffen hat, oder über Sachverhalte, die Sie weiter untersuchen müssen.

Sie können die Seite Untersuchungen verwenden, um Untersuchungen zu filtern und dann die Untersuchungsdetails zu prüfen.

So öffnen Sie die Seite Untersuchungen:

1. Wählen Sie in WatchGuard Cloud Überwachen > Verwaltete Dienste.
   Das Verwaltete Dienste-Portal wird in einer neuen Browser-Registerkarte geöffnet.
2. Wenn Sie ein Service-Provider sind, wählen Sie Ihr Subscriber-Konto aus der Dropdown-Liste.
3. Wählen Sie Aktivität > Untersuchungen.
   Die Seite Untersuchungen wird geöffnet.

Status der Untersuchung

Wenn WatchGuard MDR einen Vorfall erkennt, der eine potenzielle Bedrohung darstellt, wird die Erkennung zu einer Untersuchung. Der Status wird zunächst als Warten auf ActZero angezeigt und ändert sich, sobald das WatchGuard SOC-Team den Vorfall untersucht und gemeinsam mit Ihnen daran arbeitet, das Problem oder die potenzielle Bedrohung zu beheben.

Eine Untersuchung kann einen der folgenden Zustände aufweisen:

Warten auf ActZero

Vorfall wird von WatchGuard SOC-Analysten untersucht.

Warten auf Kunden

Das WatchGuard SOC-Team wartet darauf, dass der Kunde die Behebung des Vorfalls bestätigt, auf die Untersuchung mit einem Kommentar antwortet oder die nächsten erforderlichen Schritte zur Behebung des Vorfalls einleitet.

Behoben

Der Vorfall ist behoben. Es gibt keine ausstehenden Aktionen für das WatchGuard SOC-Team oder den Kunden.

Geschlossen

Nach 48 Stunden wechselt eine Untersuchung mit dem Status Behoben zum Status Geschlossen. Die Untersuchung kann auch geschlossen werden, wenn der Kunde bestätigt, dass das Problem behoben wurde.

Erneut geöffnet

Wenn der Kunde einer geschlossenen Untersuchung einen Kommentar hinzufügt, ändert sich der Status auf Erneut geöffnet.

Untersuchungsdetails überprüfen

Die Liste auf der Seite Untersuchungen zeigt Untersuchungen an, für die Sie Filter gesetzt haben.

Um die Details einer Untersuchung zu prüfen, müssen Sie die Untersuchung aus der Liste auswählen.
Die Details werden rechts neben der Liste angezeigt.

Die Untersuchungsdetails umfassen das Datum und die Uhrzeit der Warnung, den Schweregrad, den Ticketstatus, das Datum und die Uhrzeit der letzten Aktualisierung, die Erkennungs-ID und den vollständigen Text der an den Kunden gesendeten Warnungs-E-Mail. Die Meldung enthält Details zur potenziellen Bedrohung und Empfehlungen zur Behebung des Vorfalls.

Um die Erkennung anzuzeigen, die die Untersuchung generiert hat, klicken Sie auf der Seite Erkennungen auf die Erkennungs-ID. Je nach Ticketstatus ist es auch möglich, auf eine Untersuchung reagieren.

Auf Untersuchungen reagieren

Lautet der Status einer Untersuchung Warten auf Kunden, können Sie eine Maßnahme ergreifen oder dem SOC-Team einen Kommentar senden.

Maßnahmen auf dem Portal

Falls verfügbar, können Sie in den Untersuchungsdetails auf eine der folgenden Aktionsschaltflächen klicken:

• Benutzerpasswort zurücksetzen — Deaktiviert das betroffene Benutzerkonto, meldet den Benutzer von allen aktiven Sitzungen ab, setzt das Benutzerpasswort und die MFA für den Benutzer zurück.
• Erkennung ablehnen — Schließt die Untersuchung.

Maßnahmen in Ihrem Netzwerk oder Ihrer Umgebung ergreifen

Wenn die Meldung in den Warnungsdetails Schritte zur Behebung des Vorfalls empfiehlt, können Sie direkt in Ihrem Netzwerk oder in Ihrer Umgebung Maßnahmen ergreifen und dann einen Kommentar hinzufügen, um die Vorfalldetails mit den von Ihnen ergriffenen Maßnahmen zu ergänzen.

Mit Kommentar antworten

Um dem WatchGuard SOC-Team Informationen über die Untersuchung zu senden, scrollen Sie zum Ende der Warnmeldungsdetails. Geben Sie im Textfeld Kommentar Ihre Nachricht ein und klicken Sie auf Aktualisieren.

Untersuchungsliste sortieren und filtern

Standardmäßig werden in der Untersuchungsliste alle Untersuchungen für den ausgewählten Zeitraum in absteigender Reihenfolge nach Zeit angezeigt, sodass die neuesten Untersuchungen an erster Stelle in der Liste angezeigt werden. Zum Ändern der Reihenfolge der Untersuchungen klicken Sie auf eine Spaltenüberschrift.

Um die Anzeige der Untersuchungen individuell anzupassen, können Sie die Liste nach Datum, Schweregrad, Quelle, Status und Zeit filtern.

Schweregrad

Um die Untersuchungsliste nach Schweregraden zu filtern, wählen Sie mindestens eine Option

Quelle

Um die Untersuchungsliste nach Quellen zu filtern, wählen Sie mindestens eine der folgenden Optionen:

• Endpoint — Verbundene Endpoints, auf denen WatchGuard Endpoint Security oder Microsoft Defender ausgeführt wird.
• Cloud — Verbundene Cloud-Dienste wie Office 365.

Status

Um die Untersuchungsliste nach Status zu filtern, wählen Sie mindestens eine Option.

Zeit

Die Untersuchungsliste zeigt standardmäßig Untersuchungen an, die in den vergangenen 30 Tagen durchgeführt wurden. Um die Untersuchungsliste nach Datumsbereich zu filtern, wählen Sie im Abschnitt Zeit einen Zeitraum oder einen benutzerdefinierten Datumsbereich.

Klicken Sie auf Filter zurücksetzen, um die Filter zurückzusetzen. Um die Untersuchungsliste als .CSV-Datei zu exportieren, klicken Sie auf Exportieren.

Ähnliche Themen

MDR-Erkennungen überprüfen