Über die ThreatSync+ Zusammenfassungsseite

Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS

Die Seite Netzwerkzusammenfassung wird standardmäßig geöffnet, wenn Sie Überwachen > ThreatSync+ auswählen. Diese Seite bietet eine Übersicht der Trends in Ihrem Netzwerk und beinhaltet Links zu detaillierten Informationen über Smart Alerts, Regel-Warnmeldungen, Geräterisiken und Netzwerk-Datenverkehr.

Die verfügbaren Seiten und Funktionen variieren und hängen von Ihrem Lizenztyp ab. In dieser Dokumentation bezieht sich ThreatSync+ im Allgemeinen auf alle Produkte. Wenn Sie eine Seite oder Funktion in der ThreatSync+ Benutzeroberfläche nicht sehen, wird sie von Ihrem Produkt nicht unterstützt.

Screenshot of the Summary page in the Monitor menu for ThreatSync+ NDR

Weitere Informationen zur Seite Zusammenfassung finden Sie in folgenden Abschnitten:

Netzwerkbedrohungsbewertung

ThreatSync+ liefert umsetzbare Informationen in der Form einer Netzwerkbedrohungsbewertung, die Bedrohungsbewertungen für interne Knoten, Subnetze, Zonen und Benutzer zusammenfasst. Sie können die aktuelle Bedrohungsbewertung im Widget Netzwerkbedrohungsbewertung sehen.

Screenshot of the Network Threat Score widget in ThreatSync+ NDR

ThreatSync+ berechnet zwei Arten von Bedrohungsbewertungen:

  • Bedrohungsbewertung IP-Adressen oder Geräte — ThreatSync+ nutzt erweiterte Analysen, um eine Bedrohungsbewertung für jede interne IP-Adresse in Ihrem Netzwerk zu berechnen. Zu den bei dieser Berechnung verwendeten Parametern gehören Smart Alerts, Regel-Warnmeldungen sowie Verhaltensweisen und Ereignisse, die den Knoten betreffen. Die Bewertung wird alle 30 Minuten aktualisiert, um eine Kennzahl der von ThreatSync+ erkannten Bedrohungen und Schwachstellen zu bieten.
  • Gruppenbedrohungsbewertung — Eine Gruppe kann ein Subnetz (interne Organisation) in Ihrem Netzwerk, eine interne Zone (alle kritischen Geräte) oder Ihr gesamtes Netzwerk sein. ThreatSync+ aggregiert die Knotenbewertungen, um eine Kennzahl für Ihr gesamtes Netzwerk sowie für jede der von Ihnen konfigurierten Subnetz-Organisationen zu zeigen.

ThreatSync+ benutzt die folgenden Kategorien für Bedrohungsbewertungen:

  • Sehr hoch — 91 bis 100
  • Hoch — 71 bis 90
  • Mittel — 51 bis 70
  • Niedrig — 31 bis 50
  • Sehr niedrig — 0 bis 30

Das Widget Netzwerkbedrohungsbewertung umfasst mehrere Diagramme und Zähler:

  • Aktuelle Netzwerkbedrohungsbewertung
  • Netzwerkbedrohungsbewertungstrend
  • Verteilung der Bedrohungsbewertung nach Subnetz
  • Verteilung der Bedrohungsbewertung nach Gerät

Subnetze und Organisationen

Die Registerkarte Subnetze und Organisationen im Widget Netzwerkbedrohungsbewertung zeigt eine zusammengefasste Bedrohungsbewertung für jede interne Organisation. Eine interne Organisation ist eine Sammlung interner IP-Adressbereiche, die ein oder mehrere Subnetze oder IP-Adressbereiche darstellen. Weitere Informationen finden Sie unter Subnetze und Organisationen konfigurieren.

Screenshot of the Subnets and Organizations tab on the Network Threat Score widget on the Summary page

Die Registerkarte Subnetze und Organisationen zeigt die folgenden Details:

  • Bedrohungsbewertung
  • Trend
  • Organisationsname
  • Aktive IP-Adressen
  • Neueste aktive Geräte
  • Trend der Bedrohungsbewertung

Zonen

Die Registerkarte Zonen zeigt die aggregierte Bedrohungsbewertung für jede Zone. Eine Zone ist eine Gruppe von Netzwerkgeräten. Weitere Informationen finden Sie unter ThreatSync+ Zonen verwalten.

Screenshot of the Zones tab on the Network Threat Score widget on the Summary page

Die Registerkarte Zonen zeigt die folgenden Details:

  • Bedrohungsbewertung
  • Trend
  • Typ
  • Name
  • Beschreibung
  • Mitglieder
  • Neueste aktive Geräte
  • Trend der Bedrohungsbewertung

Geräte

Die Registerkarte Geräte zeigt die aggregierte Bedrohungsbewertung für jedes Gerät, das in Ihrem Netzwerk aktiv ist.

Screenshot of the Devices tab on the Network Threat Score widget on the Summary page

Die Registerkarte Geräte zeigt die folgenden Details:

  • Gerätetyp
  • Name
  • Bedrohungsbewertung
  • Trend
  • Beschreibung
  • Wichtigkeit
  • Offene Smart Alerts
  • IP-Adressen
  • Zeit der ersten Sichtung
  • Zeit der letzten Sichtung
  • Quelle

Benutzer insgesamt

Benutzer-Widgets und -Informationen sind nur mit einer ThreatSync+ SaaS-Lizenz verfügbar. Weitere Informationen finden Sie unter Über ThreatSync+ SaaS-Lizenzen.

Das Widget Benutzer insgesamt zeigt die Gesamtzahl der in den letzten sieben Tagen erkannten Benutzer, die mit einer ThreatSync+ SaaS-Integration verbunden sind. Beispielsweise Microsoft Office 365. Um die Details eines Benutzers zu sehen, klicken Sie auf die Zugriff-IP-Adresse neben einem Benutzer.

Die Seite Benutzerdetails zeigt den Problembehebungsstatus, den Anmeldeverlauf und den Benutzerverlauf für einen spezifischen Benutzer und liefert Details über die mit ergriffenen Aktionen, Regel-Warnmeldungen, Smart Alerts und Geräteaktivität verbundene Benutzeraktivität. Die Seite Benutzerdetails zeigt auch die mit dem Benutzer zum Zeitpunkt der Aktivität verknüpfte Bedrohungsbewertung, und wie sich die Bedrohungsbewertung im Laufe der Zeit aufgrund der Benutzeraktivität verändert hat. Die aktuelle Benutzerbedrohungsbewertung wird oben auf der Seite Benutzerdetails angezeigt. Die Benutzerbewertung trägt zur Gesamtnetzwerkbedrohungsbewertung bei. Weitere Informationen finden Sie unter Netzwerkbedrohungsbewertung.

Sie müssen über eine ThreatSync+ NDR-Lizenz verfügen, um die Benutzerdetails der Zugriff-IP-Adresse anzuzeigen. Weitere Informationen finden Sie unter Über ThreatSync+ NDR-Lizenzen.

Screenshot of the Total Users tab on the ThreatSync+ Summary page, Monitor menu

Weitere Informationen zur Seite Benutzerdetails finden Sie unter ThreatSync+ Benutzer.

Offene Smart Alerts

Das Widget Offene Smart Alerts zeigt eine Liste offener Smart Alerts und zwei Diagramme, die verschiedene Ansichten der Smart Alerts-Details zeigen.

Offene Smart Alerts im Zeitverlauf

Das Diagramm Offene Smart Alerts im Zeitverlauf zeigt die Anzahl offener Smart Alerts für einen vorgegebenen Zeitraum.

Screenshot of the Open Smart Alerts Over Time graph

Sie können offene Smart Alerts für die folgenden Zeiträume anzeigen:

  • 24 Stunden
  • 7 Tage
  • 30 Tage
  • 90 Tage

Der Standardzeitraum ist 7 Tage.

Smart Alerts nach Hauptakteur und Typ

Das Diagramm Smart Alerts nach Hauptakteur und Typ zeigt die Anzahl der Smart Alert-Typen nach Hauptakteur für einen vorgegebenen Zeitraum. Ein Hauptakteur ist das Gerät, das mit bösartiger Aktivität in Verbindung steht. Beim Hauptakteur kann es sich um das Gerät handeln, das für die Bedrohung verantwortlich ist, oder er könnte das kompromittierte Gerät sein, das ein Angreifer nutzt, um das bösartige Verhalten auszuüben.

Screenshot of the Smart Alerts by Major Actor and Type chart

Regel-Warnmeldungen

Das Widget Regel-Warnmeldungen zeigt eine Liste erkannter Regelverstöße. Eine Regel-Warnmeldung zeigt an, dass ein Benutzer oder ein Gerät gegen eine spezifische Regel verstoßen hat. Weitere Informationen finden Sie unter Über Regel-Warnmeldungen.

Screenshot of the Policy Alert widget on the Summary page

Auf dem Widget Regel-Warnmeldungen stehen vier Diagramme zur Verfügung:

  • Regel-Warnmeldungen nach Tag
  • Häufigste Regeltypen
  • Regel-Warnmeldungen im Zeitverlauf
  • Regel-Warnmeldungen nach Gerät oder IP

Klicken Sie auf ein Diagramm, um mehr Details über die Regel-Warnmeldung anzuzeigen. Weitere Informationen finden Sie unter Über Regel-Warnmeldungen.

Gesamtzahl Geräte

Das Widget Gesamtzahl Geräte zeigt eine Zusammenfassung der Geräteaktivität für alle Geräte im Netzwerk.

Screenshot of the Total Devices widget on the Summary page

Das Überwachen Ihrer Netzwerkgeräte auf ungewöhnliche Aktivität kann Ihnen helfen, potenzielle Sicherheitsbedrohungen und Schwachstellen zu identifizieren.

Vier Diagramme bieten Einblick in die Geräteaktivität und zeigen die folgenden Zusammenfassungsdetails:

  • Geräte im Zeitverlauf — Die Anzahl Geräte in Ihrem Netzwerk über einen vorgegebenen Zeitraum.
  • Neueste nicht identifizierte private Geräte — Ein interaktives Diagramm, das eine Liste der in Ihrem Netzwerk erkannten nicht identifizierten privaten Geräte zeigt. Klicken Sie auf eine IP-Adresse, um mehr Details über die Geräteaktivität anzuzeigen.
  • Top-IP-Adressen der Blockliste — Die am häufigsten erkannten IP-Adressen auf der Blockliste über einen vorgegebenen Zeitraum.
  • Aktivste Quelladressen — Die Quell-IP-Adressen mit der höchsten Paketanzahl über einen vorgegebenen Zeitraum.

Um detaillierte Informationen über ein spezifisches Gerät anzuzeigen, klicken Sie auf eine IP-Adresse im Abschnitt Neueste nicht identifizierte private Geräte.

Datenverkehr insgesamt

Das Widget Datenverkehr insgesamt zeigt mehrere Diagramme und Zähler über Netzwerk-Datenverkehr und Ereignisse im Zeitverlauf.

Tabelle Aktivität nach Quellgerät

Die Tabelle Aktivität nach Quellgerät zeigt den Typ des Netzwerk-Datenverkehrs, welche Fireware-Version auf Ihren Fireboxen läuft und ob die Version von ThreatSync+ unterstützt wird.

Die Tabelle zeigt die folgenden Spalten:

  • Gerätename — Name des Geräts, das Daten über den Kollektor sendet.
  • Typ — Windows Log Agent, wenn das Gerät DHCP-Protokolle sendet, oder NetFlow/SFlow, wenn das Gerät NetFlow- oder sFlow-Daten sendet.
  • Zuletzt gesehen — Zeit und Datum des letzten Protokolleingangs im Gerät.
  • Protokollanzahl — Anzahl der verarbeiteten Protokolle

Kollektoren, die Daten an ThreatSync+ senden, werden auch in der Tabelle Aktivität nach Quellgerät gezeigt. Weitere Informationen finden Sie unter Über ThreatSync+ NDR-Kollektoren.

ThreatSync+ erfordert Fireware v12.10.3 oder höher.

Screenshot of the Total Traffic widget on the Summary page

Weitere Informationen über das Überwachen des Datenverkehrs finden Sie unter ThreatSync+ Datenverkehr untersuchen.

Benutzeraktivität

Benutzer-Widgets und -Informationen sind nur mit einer ThreatSync+ SaaS-Lizenz verfügbar. Weitere Informationen finden Sie unter Über ThreatSync+ SaaS-Lizenzen.

Das Widget Benutzeraktivität beinhaltet das Diagramm Benutzeraktivität-Protokollanzahl, das die Anzahl der Benutzeraktivität sowie Datum und Uhrzeit der Benutzeraktivität für einen vorgegebenen Zeitraum zeigt. Zur Benutzeraktivität können folgende Benutzer-Ereignisse gehören:

Datei- und Ordnerereignisse

Datei- und Ordnerereignisse umfassen folgende Benutzeraktivitäten:

  • Anonyme Dateiaktivität
  • Externe Dateiaktivität
  • Freigabe von Datei oder Ordner an externen Benutzer
  • Weitergabe von internen Dateien oder internen Ordnern an die Öffentlichkeit
  • Ungewöhnliche Veränderung der Dateiaktivität

Anmeldeereignisse

Anmeldeereignisse umfassen folgende Benutzeraktivitäten:

  • Hohe Rate fehlgeschlagener Anmeldeversuche
  • Erkennung eines unmöglichen Benutzerverkehrs
  • Neue Remote Access-IP für einen Benutzer
  • Neuer Remote Access-Standort für einen Benutzer
  • Erkennung einer unerwarteten Anmeldung
  • Ungewöhnlicher Zugriffsort für einen Benutzer
  • Ungewöhnliche Zugriffszeit für einen Benutzer

Screenshot of the User Activity Log Count chart on the User Activity widget, Summary page

Um Details der Benutzeraktivität anzuzeigen, klicken Sie auf ein Datum im Diagramm und dann auf Details anzeigen.

Details Benutzeraktivität

Wenn Sie auf dem Diagramm Benutzeraktivität-Protokollanzahl für ein spezifisches Datum auf Details anzeigen klicken, dann können Sie Details über Benutzer-Ereignisse, Datei- und Ordnerereignisse oder Anmeldeereignisse für einen vorgegebenen Zeitraum aufrufen. Zu diesen Details gehört der Anomalie-Typ und das Hauptauslöseereignis der Aktivität.

Screenshot of the User Events page, User Activity widget, on the Summary page in Monitor > ThreatSync+

Weitere Informationen zu Benutzeraktivität und Ereignissen finden Sie unter ThreatSync+ Benutzer.

Diagramme herunterladen

Um ein Diagramm herunterzuladen, klicken Sie auf Symbol Als CSV exportieren neben dem Diagramm.

Ähnliche Themen

Über ThreatSync+ NDR

ThreatSync+ überwachen

ThreatSync+ konfigurieren