Vorfallsdetails prüfen

Gilt für: ThreatSync

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Auf der Seite Vorfallsdetails werden detaillierte Informationen über eine spezifische Bedrohung aufgeführt. Hier finden Sie den Namen, das verknüpfte Konto, das Datum und weitere Abschnitte mit spezifischen Details zu einem Vorfalltyp.

Sie können in verschiedenen Abschnitten auf der Seite Vorfallsdetails Aktionen für den ausgewählten Vorfall ausführen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

So öffnen Sie die Seite Vorfallsdetails:

  1. Wählen Sie Überwachen > Bedrohungen.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall.
    Die Seite Vorfallsdetails wird geöffnet.

Screen shot of the Incident Details page for a malware incident

Die auf der Seite Vorfallsdetails gezeigten Abschnitte variieren je nach Vorfallstyp. Sie können folgendes beinhalten:

Bedrohungsdetails

Der Abschnitt Bedrohungsdetails beinhaltet verschiedene spezifische Details zu dem gewählten Vorfallstyp.

Screen shot of the Threat Details section on the Incident Details page

Die Details in diesem Abschnitt können folgendes beinhalten:

  • Typ — Typ des Vorfalls:

    • Erweiterte Sicherheitsregel — Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
    • Exploit — Angriffe, bei denen ein bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
    • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
    • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
    • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
    • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
    • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
    • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
    • Virus — Bösartiger Code, der in Computersysteme eindringt.
    • Unbekanntes Programm — Das Programm ist blockiert, weil es noch nicht von WatchGuard Endpoint Security klassifiziert wurde. Weitere Informationen dazu, was passiert, wenn Endpoint Security ein unbekanntes Programm umklassifiziert, finden Sie unter Vorfälle neu klassifizieren.
    • Bösartiger Access Point — Ein nicht autorisierter WLAN Access Point, der mit Ihrem Netzwerk verbunden ist oder in Ihrem Frequenzbereich in Betrieb ist.
    • Zugriff auf Zugangsdaten — AuthPoint-Vorfall, der auf einen Versuch zum Kompromittieren von Konto-Zugangsdaten hinweist.

  • Bedrohung — Name der Bedrohung. Bei manchen Vorfallstypen können Sie auf einen Link klicken, um auf Google oder einer Drittanbieter-Website nach weiteren Informationen über die Bedrohung zu suchen.
  • Beschreibung — Beschreibung des Vorfalls.
  • Auftreten — Häufigkeit der Vorkommnisse dieses Vorfalls.
  • Zuerst gesehen — Datum und Uhrzeit der ersten Vorfallserkennung.
  • Zuletzt gesehen — Datum und Uhrzeit der letzten Vorfallserkennung.
  • Intrusion-Typ — Typ der Intrusion.
  • Automatische Reaktion — Die von Firebox, Access Point oder dem Endpoint-Gerät als Reaktion auf die Bedrohung durchgeführte automatische Reaktion.

    • Zugelassen (Audit-Modus) — Es wurde ein Vorfall erkannt, jedoch keine Aktion durchgeführt, da sich das Gerät im Audit-Modus befindet.
    • Verbindung blockiert — Verbindung ist blockiert.
    • Prozess blockiert — Prozess wurde von einem Endpoint-Gerät blockiert.
    • Gerät isoliert — Die Kommunikation mit dem Gerät ist blockiert.
    • Datei gelöscht — Die Datei wurde als Malware klassifiziert und gelöscht.
    • IP blockiert — Die Netzwerkverbindungen zu und von dieser IP-Adresse sind blockiert.
    • Access Point blockieren — WLAN-Client-Verbindungen zu diesem bösartigen Access-Point sind blockiert.
    • Prozess abgebrochen — Der Prozess wurde von einem Endpoint-Gerät beendet.
    • Erkannt — Vorfall erkannt, jedoch keine Aktion durchgeführt.
    • Benutzer blockiert — Vorfall bei Zugriff auf Zugangsdaten, bei dem der Benutzer in AuthPoint blockiert wurde.

  • Empfehlungen — Vorgeschlagene Aktionen zur Behebung der Bedrohung. Klicken Sie auf eine Schaltfläche, um eine empfohlene Aktion auszuführen oder eine vorherige Aktion abzubrechen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Die Empfehlungen für einen Vorfall auf der Seite Vorfallsdetails bestimmen, welche Aktionen in der Dropdown-Liste Aktionen auf der Seite Vorfälle verfügbar sind. Falls beispielsweise die empfohlene Aktion für einen Vorfall das Isolieren eines Geräts ist, wird die Option Gerät isolieren/Geräteisolierung beenden in der Dropdown-Liste Aktionen aktiviert.

  • Risiko — Der dem Vorfall zugewiesene Risikograd. Weitere Informationen finden Sie unter Risikograde und -bewertungen in ThreatSync.
  • Bedrohungsaktivitätsdiagramm — Wenn es ein mit einem Angriffsindikator (Indicator of Attack, IOA) verknüpftes Diagramm gibt, so können Sie dieses durch Klick auf die Schaltfläche Bedrohungsaktivitätsdiagramm öffnen.
  • Weitere Details — Zusätzliche Informationen in Verbindung mit diesem Vorfall.

Sie können empfohlene Aktionen im Abschnitt Bedrohungsdetails durchführen oder eine zuvor gewählte Aktion abbrechen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Datei

Der Abschnitt Datei zeigt Details über die markierte Datei und kann Dateiname und Dateipfad beinhalten.

Screen shot of the File section for a Virus incident type

Sie können Aktionen direkt vom Abschnitt Datei aus durchführen. Klicken Sie auf den Blitz Blitzsymbol, um das Menü Aktionen zu öffnen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Bösartige URL

Im Abschnitt Bösartige URL wird die URL einer bösartigen Website angezeigt.

Screen shot of the Malicious URL section on the Incident Details page

Programm oder Kompromittiertes Programm

Im Abschnitt Programm oder Kompromittiertes Programm werden Pfad, Name und MD5-Wert der mit dem Vorfall in Verbindung stehenden Programmdatei angezeigt.

Screen shot of the Program section on the Incident Details page

Sie können Aktionen direkt vom Abschnitt Programm oder Kompromittiertes Programm aus durchführen. Klicken Sie auf den Blitz Screenshot of the lightning bolt icon, um das Menü Aktionen zu öffnen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Gerät

Der Abschnitt Gerät zeigt Details zu den vom Vorfall betroffenen Geräten.

Falls die Bedrohung sowohl eine Firebox als auch ein Endpoint-Gerät betrifft, können auf der Seite Vorfallsdetails mehrere Geräte-Abschnitte für denselben Vorfall angezeigt werden.

Screen shot of the Device sections on the Incident Details page

Der Abschnitt Gerät beinhaltet folgende Details:

  • Gerät — Name des Geräts.
  • Gerätetyp — Typ des Geräts, entweder Firebox, Endpoint oder Access Point.
  • IP-Adresse — Die IP-Adresse eines Endpoint-Geräts.

Sie können Aktionen direkt vom Abschnitt Gerät aus durchführen. Klicken Sie auf den Blitz Blitzsymbol, um das Menü Aktionen zu öffnen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Details zur Netzwerkverbindung

Im Abschnitt Details zur Netzwerkverbindung sind die Details zur Netzwerkverbindung im Zusammenhang mit dem Vorfall aufgeführt, anhand derer Sie eine IP-Adresse auf den infrage kommenden Fireboxen blockieren können.

Screen shot of the Network Connection Details section on the Incident Details page

Der Abschnitt Details zur Netzwerkverbindung variiert je nach Vorfallstyp und kann folgende Informationen enthalten:

  • Quell-Schnittstelle — Name der Schnittstelle, die die Quelle des Datenverkehrs war.
  • Quell-IP — IP-Adresse, die die Quelle des Datenverkehrs war. Um eine externe IP-Adresse zu blockieren, klicken Sie auf den Blitz Blitzsymbol und wählen Sie IP auf allen zulässigen Fireboxen blockieren aus.
  • Quell-Port — Nummer des Ports, der die Quelle des Datenverkehrs war.
  • Ziel-Schnittstelle — Name der Schnittstelle, die das Ziel des Datenverkehrs war.
  • Ziel-IP — IP-Adresse, die das Ziel des Datenverkehrs war.
  • Ziel-Port — Nummer des Ports, der das Ziel des Datenverkehrs war.
  • Protokoll — Das für die Verbindung verwendete Protokoll.
  • Quelle — Quell-IP-Adresse war ein Botnet.
  • Meldung — Firebox-Protokollmeldung.
  • Proxy-Aktion — Das Profil (Einstellungen, Quellen oder Ziele) für den Proxy.
  • Grund — Risikograd des Vorfalls.
  • Aufgabe — Die UUID der Aufgabe.

Sie können Aktionen direkt vom Abschnitt Details zur Netzwerkverbindung aus durchführen. Klicken Sie auf den Blitz Blitzsymbol, um das Menü Aktionen zu öffnen. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Rogue-Access Point

Der Abschnitt Rogue-Access Points zeigt Details über ein als bösartigen Access Point erkanntes Gerät. Ein Rogue-Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

  • Verwenden Sie die Standortinformationen im Abschnitt Erkannt von, um den bösartigen Access Point zu finden und ihn von Ihrem Netzwerk zu trennen.
  • Falls Sie das bösartige Gerät nicht lokalisieren können, können Sie den Rogue-Access Point durch die Deaktivierung von Switch-Ports oder das Blockieren von MAC-Adressen auf Ihrem Netzwerk-Switch vom Netzwerk isolieren.
  • Blockieren Sie WLAN-Client-Verbindungen zum Rogue-Access Point.
  • Der WatchGuard Access Point, der das bösartige Gerät erkennt, muss über einen speziellen Scan-Sender verfügen, um Drahtlos-Reaktionsmaßnahmen auszuführen und WLAN-Client-Verbindungen zu einem bösartigen Access Point zu blockieren.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die WPA3-Sicherheit oder WPA2-Sicherheit mit aktiviertem Protect Management Frames (802.11w) nutzen.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die auf einem Kanal senden, der sich nicht im aktuellen Einsatzland des erkennenden Access Points befindet.

Caution: Stellen Sie sicher, dass es sich bei einem erkannten Rogue-Access Point nicht um einen bekannten Access Point in Ihrer Bereitstellung handelt, bevor Sie die Verbindungen zu diesem blockieren. Es könnte sich um eine WLAN-Firebox, einen WatchGuard Wi-Fi 5 Access Point oder einen legitimen Drittanbieter-Access Point in Ihrer Bereitstellung handeln. Sie können diesen Geräten vertrauen, um zukünftige Warnmeldungsbenachrichtigungen zu verhindern. Achten Sie darauf, die lokalen Vorschriften zur Verwendung von Drahtlos-Reaktionsmaßnahmen einzuhalten, wenn Sie WLAN-Clients von einem Access Point trennen.

Screenshot of the Rogue Access Point section of the Incidient Details page in ThreatSync

  • SSID — Die vom Rogue-Access Point gesendete SSID.
  • BSSID/WLAN-MAC — BSSID ist die MAC-Adresse der WLAN-Schnittstelle des Rogue-Access Points.
  • Wired MAC — Die MAC-Adresse der verkabelten Schnittstelle des Rogue-Access Points.
  • IP-Adresse — Die IP-Adresse des Rogue-Access Points.
  • SSID-Sicherheitstyp — Der Sicherheitstyp der vom Rogue-Access Point gesendeten SSID, beispielsweise Offen oder WPA2 Personal.
  • Protokoll — Das vom Rogue-Access Point verwendete WLAN-Protokoll, beispielsweise 802.11ax.
  • Kanal — Der vom Rogue-Access Point verwendete WLAN-Kanal.
  • Band — Das vom Rogue-Access Point verwendete WLAN-Band, beispielsweise 2.4 GHz oder 5 GHz.

Sie können Aktionen direkt vom Abschnitt Rogue-Access Point aus durchführen. Klicken Sie auf den Blitz Blitzsymbol, um das Menü Aktionen zu öffnen, in dem Sie Access Point blockieren auswählen können, um WLAN-Client-Verbindungen zum Bedrohungsgerät zu blockieren. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Evil Twin

Der Abschnitt Evil Twin zeigt Details über ein als bösartigen Access Point erkanntes Gerät. Ein Evil Twin ist ein nahe gelegener und in Ihrem Frequenzbereich arbeitender Access Point, der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben. Ihre Clients könnten sich mit der SSID des Evil Twin-Access Points anstatt mit der SSID Ihres legitimen Access Points verbinden.

  • Warnen Sie Ihre Benutzer über das Vorhandensein des Evil Twin-Access Points. WLAN-Clients könnten sich mit dem Evil Twin Access Point verbinden und schutzlose Daten übermitteln.
  • Verwenden Sie die Standortinformationen im Abschnitt Erkannt von, um den ungefähren Standort des bösartigen Access Points zu finden und diesen falls möglich zu trennen.
  • Blockieren Sie WLAN-Client-Verbindungen zum Evil Twin-Access Point.
  • Der WatchGuard Access Point, der das bösartige Gerät erkennt, muss über einen speziellen Scan-Sender verfügen, um Drahtlos-Reaktionsmaßnahmen auszuführen und WLAN-Client-Verbindungen zu einem bösartigen Access Point zu blockieren.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die WPA3-Sicherheit oder WPA2-Sicherheit mit aktiviertem Protect Management Frames (802.11w) nutzen.
  • Sie können keine Drahtlos-Reaktionsmaßnahmen gegen bösartige Access Points durchführen, die auf einem Kanal senden, der sich nicht im aktuellen Einsatzland des erkennenden Access Points befindet.

Caution: Stellen Sie sicher, dass es sich bei einem erkannten Evil Twin-Access Point nicht um einen bekannten Access Point in Ihrer Bereitstellung oder einen legitimen Access Point in Ihrem Funkbereich, wie einen Gast-Hotspot eines nahen Geschäfts, handelt, bevor Sie die Verbindungen zu diesem blockieren. Es könnte sich um eine WLAN-Firebox, einen WatchGuard Wi-Fi 5 Access Point oder einen legitimen Drittanbieter-Access Point in Ihrer Bereitstellung handeln. Sie können diesen Geräten vertrauen, um zukünftige Warnmeldungsbenachrichtigungen zu verhindern. Achten Sie darauf, die lokalen Vorschriften zur Verwendung von Drahtlos-Reaktionsmaßnahmen einzuhalten, wenn Sie WLAN-Clients von einem Access Point trennen.

Screenshot of the Evil Twin section of the Incidient Details page in ThreatSync

  • SSID — Die vom Evil Twin-Access Point gesendete SSID. Diese SSID ist mit einer von Ihren legitimen verwalteten Access Points gesendeten SSID identisch.
  • BSSID — BSSID ist die MAC-Adresse der WLAN-Schnittstelle des Evil Twin-Access Points.
  • SSID-Sicherheitstyp — Der Sicherheitstyp der vom Evil Twin-Access Point gesendeten SSID, beispielsweise Offen oder WPA2 Personal.
  • Protokoll — Das vom Evil Twin-Access Point verwendete WLAN-Protokoll, beispielsweise 802.11ax.

Sie können Aktionen direkt vom Abschnitt Evil Twin aus durchführen. Klicken Sie auf den Blitz Blitzsymbol, um das Menü Aktionen zu öffnen, in dem Sie Access Point blockieren auswählen können, um WLAN-Client-Verbindungen zum Bedrohungsgerät zu blockieren. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Erkannt von

Der Abschnitt Erkannt von zeigt Details über den WatchGuard-Access Point, der einen bösartigen Access Point-Vorfall (Rogue-Access Point oder Evil Twin) erkannt hat.

Screenshot of the Detected By section of the Incidient Details page in ThreatSync

  • Gerät — Der Name des WatchGuard-Geräts, das den bösartigen Access Point erkannt hat.
  • Geschätzte Distanz — Die geschätzte Distanz des erkannten Access Points in Fuß und Metern. Dieser Wert basiert auf der erkannten Signalstärke des Geräts. Der RSSI-Wert entspricht diesen ungefähren Entfernungen:
  • RSSI zwischen 0 dBm und -39 dBm = 1 bis 10 Fuß, 1 bis 3 Meter
  • RSSI zwischen -40 dBm und -50 dBm = 10 bis 20 Fuß, 3 bis 6 Meter
  • RSSI zwischen -50 dBm und -55 dBm = 15 bis 25 Fuß, 4 bis 8 Meter
  • RSSI zwischen -55 dBm und -60 dBm = 25 bis 35 Fuß, 7 bis 10 Meter
  • RSSI zwischen -60 dBm und -65 dBm = 30 bis 45 Fuß, 9 bis 14 Meter
  • RSSI zwischen -65 dBm und -70 dBm = 40 bis 60 Fuß, 12 bis 18 Meter
  • RSSI zwischen -70 dBm und -75 dBm = 55 bis 80 Fuß, 16 bis 25 Meter
  • Unter -75 dBm = Mehr als 70 Fuß, mehr als 21 Meter
  • Signalstärke — Der RSSI (Received Signal Strength Indicator, Empfangsfeldstärke-Anzeige) des bösartigen Access Points, gemessen in Dezibel pro Milliwatt (dBm).
  • IP-Adresse — Die IP-Adresse des WatchGuard-Geräts, das den bösartigen Access Point erkannt hat.

Identität

Für Vorfälle bei Zugriff auf Zugangsdaten beinhaltet der Abschnitt Identität Details über den mit dem Vorfall verbundenen Benutzer.

Falls der mit einem Vorfall verbundene Benutzer unbekannt ist, wird der Abschnitt Identität auf der Seite Vorfallsdetails nicht angezeigt.

  • Name — Der Name des mit dem Vorfall bei Zugriff auf Zugangsdaten verbundenen Benutzers.
  • Benutzername — Der Benutzername des mit dem Vorfall bei Zugriff auf Zugangsdaten verbundenen Benutzers.
  • E-Mail — Die E-Mail des mit dem Vorfall bei Zugriff auf Zugangsdaten verbundenen Benutzers.
  • Benutzertyp — Der Typ des mit dem Vorfall bei Zugriff auf Zugangsdaten verbundenen Benutzers.

Klicken Sie auf Benutzerdetails anzeigen, um weitere Benutzerdetails in AuthPoint anzuzeigen.

Weitere Details

Das Textfeld Weitere Details bietet für IOA-Vorfälle Daten im JSON-Format mit Feldern, die für das Ereignis, das zur Generierung des IOA geführt hat, relevant sind.

Bedrohungsaktivitätsdiagramm

Für IOA-Vorfälle wird oben auf der Seite Vorfallsdetails die Registerkarte Bedrohungsaktivitätsdiagramm angezeigt. Das Bedrohungsaktivitätsdiagramm ist ein interaktives Diagramm der Abfolge von Ereignissen, die zur Generierung des IOA geführt haben. Das Incident Response Team kann das Diagramm zur Unterstützung bei der Identifizierung der Ursache eines Angriffs verwenden.

Wenn es ein mit einem IOA verknüpftes Diagramm gibt, so können Sie die Registerkarte Bedrohungsaktivitätsdiagramm auf der Seite Vorfallsdetails auswählen, um das Diagramm zu öffnen.

Screenshot of the Threat Activity Graph tab on the Incident Details page.

Weitere Informationen über das Bedrohungsaktivitätsdiagramm finden Sie unter Über Bedrohungsaktivitätsdiagramme in ThreatSync.

Kommentare

Wenn Sie Vorfälle überprüfen und darauf reagieren, können Sie Kommentare hinzufügen, die andere Incident Response Team anzeigen und auf die sie reagieren können. Kommentare werden im Fenster Kommentare auf der Seite Vorfallsdetails angezeigt und erlauben es Antwortgebern, zu kommunizieren und Vorfallsaktivitäten zu dokumentieren.

Wenn Sie den Status eines Vorfalls ändern oder eine Aktion für einen Vorfall durchführen, wird ein Dialogfeld mit einem Textfeld geöffnet, in das Sie einen optionalen Kommentar eingeben können. Diese Kommentare werden auch im Fenster Kommentare angezeigt. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen und Status von Vorfällen schließen oder ändern.

Screenshot of an example Comments pane

Das Fenster Kommentare ist standardmäßig minimiert. Klicken Sie auf der Seite Vorfallsdetails auf Kommentare, um das Fenster Kommentare zu öffnen.

Screenshot of Incident Details page with Comments button highlighted

Das Fenster Kommentare beinhaltet:

  • Suche — Texteingabe in das Suchfeld ein, um Kommentare nach Benutzername oder Stichwort zu filtern.
  • Sortieren — Klicken Sie auf Symbol Sortieren, um Kommentare nach Datum zu sortieren. Standardmäßig werden die neuesten Kommentare zuerst angezeigt.
  • Kommentare — Anzeige der Kommentare für den Vorfall. Klicken Sie auf Screenshot of options menu icon, um den Kommentar zu bearbeiten oder zu löschen. Kommentare beinhalten die folgenden Informationen:
    • Benutzername des Kommentators
    • Datum und Uhrzeit des Kommentars
    • Statusänderung oder durchgeführte Aktion, falls zutreffend
  • Kommentare eingeben — Eingabe von neuen Kommentaren im Textfeld.

Kommentare zu einem Vorfall hinzufügen

Sie können auf der Seite Vorfallsdetails direkt Kommentare zu einem Vorfall hinzufügen. Sie können einem Vorfall auch Kommentare hinzufügen, wenn Sie eine Aktion durchführen oder den Vorfallsstatus ändern. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen und Status von Vorfällen schließen oder ändern.

So fügen Sie einen Kommentar zu einem Vorfall hinzu:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall.
    Die Seite Vorfallsdetails wird geöffnet.
  3. Klicken Sie auf Kommentare.
    Das Fenster Kommentare wird geöffnet.

Screenshot of Comments pane

  1. Geben Sie Ihren Kommentar in das Textfeld Kommentare eingeben ein.
  2. Klicken Sie auf Kommentare hinzufügen.
    Der neue Kommentar wird im Fenster Kommentare angezeigt.

Kommentare bearbeiten

Sie können Ihre eigenen Kommentare im Fenster Kommentare auf der Seite Vorfallsdetails bearbeiten.

Sie können Kommentare anderer Benutzer nicht bearbeiten.

So bearbeiten Sie Ihren Kommentar eines Vorfalls:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall.
    Die Seite Vorfallsdetails wird geöffnet.
  3. Klicken Sie auf Kommentare.
    Das Fenster Kommentare wird geöffnet.
  4. Suchen Sie nach dem Kommentar, den Sie bearbeiten wollen, und klicken Sie auf Screenshot of the options menu icon.
  5. Wählen Sie in der Dropdown-Liste Bearbeiten.

Screenshot of the open Options menu on a comment in the Comments pane

  1. Geben Sie Ihre Änderungen in das Textfeld ein.

Screenshot of comment in the Comments pane with text box open to edit

  1. Klicken Sie auf Speichern.

Vorfallsauditprotokoll

Das Auditprotokoll wird im Fenster Auditprotokoll der Seite Vorfallsdetails angezeigt und erlaubt es Ihnen, alle mit dem Vorfall verbundenen Aktionen und Ereignisse anzuzeigen und zu durchsuchen. Das Fenster Auditprotokolle beinhaltet Auditprotokolle für alle mit dem Vorfall in Verbindung stehenden Aktivitäten. Weitere Informationen zu Auditprotokollen finden Sie unter Auditprotokolle anzeigen und ThreatSync protokollieren.

Screenshot of the Audit Log pane on the Incident Details page.

Das Fenster Vorfallsauditprotokoll ist standardmäßig minimiert. Klicken Sie auf der Seite Vorfallsdetails auf Auditprotokoll, um das Fenster Auditprotokoll zu öffnen.

Screenshot of the Incident Details page with Audit Log button highlighted.

Das Fenster Auditprotokoll beinhaltet:

  • Auditprotokollliste — Anzeige der Auditprotokollliste für den Vorfall. Alle mit dem Vorfall verbundenen Aktionen werden auf der Liste aufgeführt.
  • Suche — Texteingabe in das Suchfeld, um die Listenergebnisse zu filtern.

Auditprotokolldetails

Um die Details für einen Eintrag im Fenster Auditprotokoll zu öffnen, klicken Sie auf ein beliebiges Element der Liste.

Screenshot of Audit Log Details in the Audit Log pane of the Incident Details page in ThreatSync.

Zu den Details für einen Protokolleintrag gehören beispielsweise:

  • Aktion — Eine Beschreibung des Ereignisses oder der Aktion, das/die den Auditprotokolleintrag ausgelöst hat.
  • Benutzer — Der Benutzer, der das Ereignis oder die Aktion ausgeführt hat.
  • Gerät — Typ und ID des Geräts, auf dem die Aktion ausgeführt wurde.
  • Vorfall — Datum und Zeit des Ereignisses oder der Aktion.
  • Aktionsname — Der Name der durchgeführten Aktion. Beispielsweise IP blockieren.

Screenshot of Audit Log Details with the action name highlighted.

Weitere Informationen zur ThreatSync-Protokollierung finden Sie unter ThreatSync protokollieren.

Vorfälle neu klassifizieren

Wird eine unbekannte Datei gerade durch WatchGuard Endpoint Security klassifiziert, so wird sie als ein unbekanntes Programm in ThreatSync angezeigt. Nachdem Endpoint Security das Programm als Malware oder Goodware klassifiziert hat, führt ThreatSync automatisch die folgenden Aktionen durch:

  • Neuberechnung der Vorfallsrisikobewertung
  • Aktualisierung des Vorfallstyps auf allen Vorfallslisten und der Seite Vorfallsdetails
  • Erneute Durchführung der Automatisierungsregeln für den Vorfall auf Basis des neuen Vorfallstyps

Wenn ein unbekanntes Programm von Endpoint Security blockiert wurde und dann neu als Goodware klassifiziert wird, dann bleibt das Programm blockiert. Sie können die Blockierung auf der Seite Vorfallsdetails manuell aufheben. Weitere Informationen finden Sie unter Aktionen für Vorfälle und Endpoints durchführen.

Weitere Informationen zur Umklassifizierung in WatchGuard Endpoint Security finden Sie unter Dateiklassifizierung und -umklassifizierung.

Ähnliche Themen

Aktionen für Vorfälle und Endpoints durchführen

ThreatSync-Vorfälle überwachen

ThreatSync-Endpoints überwachen

Über Bedrohungsaktivitätsdiagramme in ThreatSync

ThreatSync-Vorfallsübersicht

ThreatSync überwachen

ThreatSync protokollieren