ThreatSync-Vorfallsübersicht

Gilt für: ThreatSync

Die Seite Zusammenfassung wird standardmäßig im Menü Überwachen > Bedrohungen für Service-Provider und Subscriber geöffnet. Diese Seite enthält neben Diagrammen und Zählern auch einen Bedrohungsbericht und Vorfallsdaten und bietet so eine Momentaufnahme der Vorfallsaktivität für Ihr Konto über einen vorgegebenen Zeitraum.

Screenshot of the Summary page in ThreatSync.

Klicken Sie auf Screenshot of the Manual Refresh icon for the refresh drop-down list, um die Dropdown-Liste Neu laden zu öffnen und festzulegen, wie die Daten auf der Seite neu geladen werden. Wenn Sie Manuell neu laden auswählen, werden die Daten auf der Seite sofort neu geladen. Wenn Sie Automatisch neu laden auswählen, wird das Symbol Screenshot of the Automatic Refresh icon for the refresh drop-down list angezeigt und die Seitendaten werden automatisch alle fünf Minuten neu geladen.

Standardmäßig zeigt die Seite Zusammenfassung die ThreatSync-Vorfallsdaten für das aktuelle Datum. Um die Vorfälle nach Datumsbereich zu filtern, klicken Sie auf Screen shot of the calendar icon for the date picker und wählen einen dieser Zeiträume:

  • Heute
  • Gestern
  • Letzte 24 Stunden
  • Letzte 7 Tage
  • Letzte 14 Tage
  • Dieser Monat
  • Letzter Monat
  • Benutzerdefiniert

Diese Kacheln fassen die Bedrohungsdaten für den angegebenen Zeitraum zusammen:

  • Ausstehende Vorfälle — Anzahl von Vorfällen mit dem Status Neu oder Gelesen, die eine Problembehebung oder Untersuchung erfordern.
  • Vorfallsstatus — Anzahl von Vorfällen, gruppiert nach Status: Neu, Gelesen oder Geschlossen.
  • Zeitstrahl Vorfälle — Ein Diagramm mit ausstehenden oder geschlossenen Vorfällen für den angegebenen Zeitraum, erfasst nach Risikobewertung und Datum.
  • Vorfallstypen — Ein Kreisdiagramm, das die Anzahl der Vorfälle gruppiert nach Vorfallstyp zeigt.

Klicken Sie auf die Überschrift einer Kachel, um die Seite Vorfälle gefiltert zur Anzeige dieser Vorfälle zu öffnen. Weitere Informationen zu Vorfällen finden Sie unter ThreatSync-Vorfälle überwachen.

Ausstehende Vorfälle

Die Kachel Ausstehende Vorfälle zeigt eine nach Risikograd geordnete Übersicht der Vorfälle mit dem Status Neu oder Gelesen für den angegebenen Zeitraum.

Screenshot of the Pending Incidents tile on the Summary page

Der Risikograd ist auf Basis der Risikobewertung in die folgenden Kategorien unterteilt:

  • Kritisch — Werte von 9 oder 10
  • Hoch — Werte von 7 oder 8
  • Mittel — Werte von 4, 5 oder 6
  • Niedrig — Werte von 1, 2 oder 3

ThreatSync berechnet die Risikobewertung für einen Vorfall auf Basis eines Algorithmus, der Daten mehrerer WatchGuard-Produkte und -Dienste miteinander korreliert.

Die unterschiedlichen Risikobewertungen in jedem Risikograd zeigen den relativen Schweregrad eines Vorfalls an und bieten eine Orientierungshilfe für das Incident Response Team, welche Vorfälle zuerst überprüft werden sollten. Wenn ThreatSync einem kritischen Vorfall zum Beispiel eine Risikobewertung von 9 zuweist und einem anderen kritischen Vorfall eine Risikobewertung von 10, empfehlen wir, dass Sie den mit 10 bewerteten Vorfall zuerst prüfen, da er ein höheres Risiko darstellt.

Vorfallsstatus

Die Kachel Vorfallsstatus zeigt eine Zusammenfassung der Vorfälle für jeden Status im angegebenen Zeitraum.

Screen shot of the Incidents Status tile on the Summary page

Vorfälle können den Status Neu, Gelesen oder Geschlossen haben:

  • Neu — Neue Vorfälle, die auf der Seite Vorfallsdetails noch nicht überprüft wurden.
  • Gelesen — Vorfälle, die auf der Seite Vorfallsdetails überprüft oder manuell als Gelesen markiert wurden.
  • Geschlossen — Vorfälle, die automatisch durch eine Automatisierungsregel oder manuell geschlossen wurden, weil die Bedrohung laut Analyst kein Risiko mehr darstellt.

Zeitstrahl Vorfälle

Die Kachel Zeitstrahl Vorfälle liefert einen Verlauf der ausstehenden oder geschlossenen Vorfälle für den angegebenen Zeitraum, erfasst nach Risikobewertung und Datum.

Wählen Sie den Typ der in der Kachel anzuzeigenden Information:

  • Um den Zeitstrahl Vorfälle für Vorfälle mit dem Status Neu oder Gelesen anzuzeigen, wählen Sie Ausstehend.
  • Um den Zeitstrahl Vorfälle für Vorfälle mit dem Status Geschlossen anzuzeigen, wählen Sie Geschlossen.

Screen shot of the Incident Timeline tile on the Summary page

Im Zeitstrahl Vorfälle wird angezeigt:

  • auf der Y-Achse die Risikobewertung. auf der X-Achse das Datum.
  • Der Durchmesser der einzelnen Kreise spiegelt die Anzahl der Vorfälle mit einer bestimmten Bewertung für diesen Tag wider.
  • Die Farbe der einzelnen Kreise entspricht der Farbe der Risikobewertungen auf den Seiten Vorfälle und Vorfallsdetails.

Um Erstellungsdatum, Risikobewertung und Zahl der Vorfälle aufzurufen, zeigen Sie auf einen Kreis auf der Kachel Zeitstrahl Vorfälle. Je größer der Kreis, desto höher die Zahl der Vorfälle für diesen Risikograd und dieses Datum.

Screen shot of the bubble hover text that shows the creation date, risk, and count of an incident

Um bestimmte Vorfälle auf der Seite Vorfälle anzuzeigen, klicken Sie auf einen Kreis.

Vorfallstypen

Das Kreisdiagramm Vorfallstypen zeigt eine Statistik der Vorfallstypen für alle Vorfälle im angegebenen Zeitraum.

Screenshot of the Incident Types tile on the Summary page.

Zu den Vorfallstypen gehören:

  • Erweiterte Sicherheitsregel — Ausführung bösartiger Skripte und unbekannter Programme, die erweiterte Infektionstechniken nutzen.
  • Exploit — Angriffe, bei denen ein bösartiger Code eingeschleust werden soll, um Prozesse mit Schwachstellen auszunutzen.
  • Intrusion-Versuch — Ein Sicherheitsereignis, bei dem ein Angreifer versucht, einen nicht autorisierten Zugriff auf ein System zu erlangen.
  • IOA — Angriffsindikatoren (IOA) sind Indikatoren, bei denen es sich höchstwahrscheinlich um einen Angriff handelt.
  • Bösartige URL — Eine URL, die für die Verbreitung von Malware, wie beispielsweise Ransomware, erstellt wurde.
  • Bösartige IP — Eine IP-Adresse, die mit einer bösartigen Aktivität verknüpft ist.
  • Malware — Schadsoftware, deren Ziel es ist, Computersysteme zu schädigen, zu stören und unbefugt Zugriff darauf zu erlangen.
  • PUP — Potenziell unerwünschte Programme (PUPs), die eventuell installiert werden, wenn andere Software auf einem Computer installiert wird.
  • Virus — Bösartiger Code, der in Computersysteme eindringt.
  • Unbekanntes Programm — Das Programm ist blockiert, weil es noch nicht von WatchGuard Endpoint Security klassifiziert wurde. Weitere Informationen dazu, was passiert, wenn Endpoint Security ein unbekanntes Programm umklassifiziert, finden Sie unter Vorfälle neu klassifizieren.
  • Bösartiger Access Point — Ein nicht autorisierter WLAN Access Point, der mit Ihrem Netzwerk verbunden ist oder in Ihrem Frequenzbereich in Betrieb ist.
  • Zugriff auf Zugangsdaten — AuthPoint-Vorfall, der auf einen Versuch zum Kompromittieren von Konto-Zugangsdaten hinweist.

Zeigen Sie auf einen Bereich des Kreisdiagramms, um Details für den entsprechenden Vorfallstyp anzuzeigen.

Screenshot of the Incident Types chart with hover details for a wedge in the chart.

Klicken Sie auf einen Bereich des Diagramms, um die Seite Vorfälle gefiltert zur Anzeige dieses Vorfallstyps zu öffnen. Weitere Informationen zu Vorfällen finden Sie unter ThreatSync-Vorfälle überwachen.

Endpoints mit aktiviertem Audit-Modus

Wenn auf Endpoints der Audit-Modus aktiviert ist, wird eine Meldung auf der Seite Zusammenfassung angezeigt.

Klicken Sie auf Details anzeigen, um die Seite Endpoints mit aktiviertem Audit-Modus zu öffnen. Die Seite Endpoints mit aktiviertem Audit-Modus beinhaltet eine Liste der Endpoints mit dem Kontonamen, der Plattform und dem letzten Verbindungsdatum und -zeitpunkt für jeden Endpoint. Weitere Informationen zum Audit-Modus finden Sie unter Prüfmodus konfigurieren.

Zusammenfassungsbericht Bedrohungen herunterladen

Um den Zusammenfassungsbericht Bedrohungen als PDF herunterzuladen, klicken Sie auf Screenshot of the PDF icon on the ThreatSync Summary page.

Dieser Bericht enthält eine Zusammenfassung der Metriken von Vorfallsdaten für den angegebenen Zeitraum:

  • Vorfallsstatus — Zeigt ein Kreisdiagramm mit Vorfällen nach ihrem Status (Neu, Gelesen und Geschlossen).
  • Vorfallsrisiko — Zeigt Kreisdiagramme mit ausstehenden und geschlossenen Vorfällen nach den Risikograden Niedrig, Mittel, Hoch und Kritisch.
  • Zeitstrahl Vorfälle — Zeigt ein Zeitstrahldiagramm der ausstehenden und geschlossenen Vorfälle, erfasst nach Risikograd und Datum.
  • Durchgeführte Aktionen — Zeigt ein Diagramm der für die Vorfälle durchgeführten Aktionen.

Informationen über die Verfahren für das Anzeigen von Vorfallsdiagrammen und das Herunterladen des Berichts Vorfallsliste finden Sie unter ThreatSync-Vorfälle überwachen.

Informationen über das Verfahren zum Planen von ThreatSync-Berichten finden Sie unter ThreatSync-Berichte planen.

Ähnliche Themen

ThreatSync überwachen

ThreatSync-Vorfälle überwachen

ThreatSync-Endpoints überwachen

Vorfallsdetails prüfen

ThreatSync konfigurieren

Über ThreatSync-Automatisierungsregeln