Prüfen der Vorfallsdetails

Auf der Seite Vorfallsdetails werden detaillierte Informationen über eine spezifische Bedrohung aufgeführt. Hier finden Sie den Namen, das verknüpfte Konto, das Datum und weitere Abschnitte mit spezifischen Details zu diesem Typ von Vorfall.

Sie können in verschiedenen Abschnitten auf der Seite Vorfallsdetails auch Aktionen für den ausgewählten Vorfall ausführen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

So öffnen Sie die Seite Vorfallsdetails:

  1. Wählen Sie Überwachen > Bedrohungen.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall.
    Die Seite Vorfallsdetails wird geöffnet.

Screen shot of the Incident Details page for a malware incident

Die auf der Seite Vorfallsdetails gezeigten Abschnitte variieren je nach Vorfallstyp. Sie können folgendes beinhalten:

Bedrohungsdetails

Der Abschnitt Bedrohungsdetails beinhaltet verschiedene spezifische Details zu dem gewählten Vorfallstyp.

Screen shot of the Threat Details section on the Incident Details page

Die Details in diesem Abschnitt können folgendes beinhalten:

  • Typ — Der Typ des Vorfalls:

    • Erweiterte Sicherheitsregel — Die Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
    • Exploit — Angriffe, bei denen bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
    • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
    • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
    • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
    • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
    • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
    • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
    • Virus — Bösartiger Code, der in Computersysteme eindringt.
    • Unbekanntes Programm — Das Programm wurde blockiert, weil es noch nicht von WatchGuard Endpoint Security klassifiziert wurde.

  • Bedrohung — Der Name der Bedrohung. Bei manchen Vorfallstypen können Sie auf einen Link klicken, um auf Google oder einer Drittanbieter-Website nach weiteren Informationen über die Bedrohung zu suchen.
  • Beschreibung — Die Beschreibung des Vorfalls.
  • Auftreten — Die Häufigkeit der Vorkommnisse dieses Vorfalls.
  • Zuerst gesehen — Datum und Uhrzeit, als der Vorfalls erstmalig erkannt wurde.
  • Zuletzt gesehen — Datum und Uhrzeit, als der Vorfalls letztmalig erkannt wurde.
  • Intrusion-Typ — Der Typ der Intrusion.
  • Automatische Reaktion — Die von Firebox oder Endpoint-Gerät als Reaktion auf die Bedrohung durchgeführte automatische Reaktion.

    • Verbindung blockiert — Verbindung ist blockiert.
    • Prozess blockiert — Prozess wurde von einem Endpoint-Gerät blockiert.
    • Gerät isoliert — Die Kommunikation mit dem Gerät ist blockiert.
    • Datei gelöscht — Die Datei wurde als Malware klassifiziert und gelöscht.
    • IP blockiert — Die Netzwerkverbindungen zu und von dieser IP-Adresse sind blockiert.
    • Prozess abgebrochen — Der Prozess wurde von einem Endpoint-Gerät beendet.

  • Empfehlungen — Vorgeschlagene Problembehebungsaktionen, die für die Bedrohung durchgeführt werden sollen. Klicken Sie auf eine Schaltfläche, um eine empfohlene Aktion auszuführen oder eine vorherige Aktion abzubrechen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Die Empfehlungen für einen Vorfall auf der Seite Vorfallsdetails bestimmen, welche Aktionen auf der Dropdown-Liste Aktionen auf der Seite Vorfälle verfügbar sind. Falls beispielsweise die empfohlene Aktion für einen Vorfall das Isolieren eines Geräts ist, wird die Option Gerät isolieren/Geräteisolierung beenden in der Dropdown-Liste Aktionen aktiviert.

Sie können empfohlene Aktionen im Abschnitt Bedrohungsdetails durchführen oder eine zuvor gewählte Aktion abbrechen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Datei

Der Abschnitt Datei zeigt Details über die markierte Datei und kann Dateiname und Dateipfad beinhalten.

Screen shot of the File section for a Virus incident type

Sie können Aktionen direkt vom Abschnitt Datei aus durchführen. Klicken Sie auf das Blitz-Symbol , um das Aktionsmenü zu öffnen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Bösartige URL

Im Abschnitt Bösartige URL wird die URL einer bösartigen Website angezeigt.

Screen shot of the Malicious URL section on the Incident Details page

Programm oder Kompromittiertes Programm

Im Abschnitt Programm oder Kompromittiertes Programm werden Pfad, Name und MD5-Wert der mit dem Vorfall in Verbindung stehenden Programmdatei angezeigt.

Screen shot of the Program section on the Incident Details page

Sie können Aktionen direkt vom Abschnitt Programm oder Kompromittiertes Programm aus durchführen. Klicken Sie auf das Blitz-Symbol , um das Aktionsmenü zu öffnen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Gerät

Der Abschnitt Gerät zeigt Details zu den vom Vorfall betroffenen Geräten.

Falls die Bedrohung sowohl eine Firebox als auch ein Endpoint-Gerät betrifft, können auf der Seite Vorfallsdetails mehrere Geräte-Abschnitte für denselben Vorfall angezeigt werden.

Screen shot of the Device sections on the Incident Details page

Der Abschnitt Gerät beinhaltet folgende Details:

  • Gerät — Name des Geräts.
  • Gerätetyp — Typ des Geräts, entweder Firebox oder Endpoint.
  • IP-Adresse — Die IP-Adresse eines Endpoint-Geräts.

Sie können Aktionen direkt vom Abschnitt Gerät aus durchführen. Klicken Sie auf das Blitz-Symbol , um das Aktionsmenü zu öffnen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Details zur Netzwerkverbindung

Im Abschnitt Details zur Netzwerkverbindung sind die Details zur Netzwerkverbindung im Zusammenhang mit dem Vorfall aufgeführt, anhand derer Sie eine IP-Adresse auf den infrage kommenden Fireboxen blockieren können.

Screen shot of the Network Connection Details section on the Incident Details page

Der Abschnitt Details zur Netzwerkverbindung variiert je nach Vorfallstyp und kann folgende Informationen enthalten:

  • Quell-Schnittstelle — Name der Schnittstelle, die die Quelle des Datenverkehrs war.
  • Quell-IP — IP-Adresse, die die Quelle des Datenverkehrs war. Um eine externe IP-Adresse zu blockieren, klicken Sie auf das Blitz-Symbol und wählen Sie IP auf allen zulässigen Fireboxen blockieren aus.
  • Quell-Port — Nummer des Ports, der die Quelle des Datenverkehrs war.
  • Ziel-Schnittstelle — Name der Schnittstelle, die das Ziel des Datenverkehrs war.
  • Ziel-IP — IP-Adresse, die das Ziel des Datenverkehrs war.
  • Ziel-Port — Nummer des Ports, der das Ziel des Datenverkehrs war.
  • Protokoll — Das für die Verbindung verwendete Protokoll.
  • Quelle — Quell-IP-Adresse war ein Botnet.
  • Nachricht — Firebox-Protokollmeldung.
  • Proxy-Aktion — Das Profil (Einstellungen, Quellen oder Ziele) für den Proxy.
  • Grund — Risikograd des Vorfalls.
  • Aufgabe — Die UUID der Aufgabe.

Sie können Aktionen direkt vom Abschnitt Details zur Netzwerkverbindung aus durchführen. Klicken Sie auf das Blitz-Symbol , um das Aktionsmenü zu öffnen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Related Topics

Ausführen von Aktionen zur Problembehebung bei Vorfällen

ThreatSync-Vorfälle überwachen

ThreatSync Vorfall-Zusammenfassung

Überwachen von ThreatSync