Gilt für: ThreatSync
Das Bedrohungsaktivitätsdiagramm für einen IOA-Vorfall ist ein interaktives Diagramm der Abfolge von Ereignissen, die zur Generierung des IOA geführt haben. Das Diagramm stellt Ereignisse mit Knoten und Pfeilen dar, um die zwischen ihnen bestehenden Beziehungen zu zeigen. Sie können das Diagramm nutzen, um Sie bei der Identifizierung der Ursache eines Angriffs zu unterstützen.
Wenn es ein mit einem IOA verknüpftes Diagramm gibt, so können Sie die Registerkarte Bedrohungsaktivitätsdiagramm auf der Seite Vorfallsdetails auswählen, um das Diagramm zu öffnen.
Standardmäßig zeigt das Diagramm Aktivitäten horizontal an. Der Knoten, der den IOA ausgelöst hat, befindet sich dabei in ihrem Zentrum. Er wird von einer Teilmenge der Knoten umgeben, die mit dem IOA in Verbindung stehen. Das Diagramm zeigt drei Knotenebenen über dem Hauptknoten sowie eine Knotenebene unter dem Hauptknoten.
Knoten stellen Einheiten dar, die an einer Operation beteiligt sind (wie Vorgänge, Dateien oder Kommunikations- oder operative Ziele). Pfeile stellen Operationen dar. Verwenden Sie die Optionen der Symbolleiste und wählen Sie spezifische Knoten aus, um die auf dem Diagramm gezeigten Informationen zu ändern. Sie können den Zeitstrahl unter dem Diagramm verwenden, um den Zeitraum zu ändern, für den das Diagramm Ereignisse anzeigt.
Das Informationsfenster rechts zeigt Ereignisinformationen für den ausgewählten Knoten oder Pfeil.
Symbolleiste
Mit der Symbolleiste können Sie das Design des Diagramms verändern. Diese Buttons stehen in der Symbolleiste zur Verfügung:
| Button | Name | Beschreibung |
|---|---|---|
|
|
Suchen | Sucht nach Knoten im Diagramm und markiert diese |
| Rückgängig machen | Macht die letzte am Diagramm ausgeführte Aktion rückgängig | |
| Wiederholen | Wiederholt die letzte am Diagramm ausgeführte Aktion | |
| Heranzoomen | Im Diagramm heranzoomen | |
| Herauszoomen | Vom Diagramm herauszoomen | |
| Zoom zurücksetzen | Setzt den Zoom auf die Standardeinstellung zurück | |
| Horizontales Diagramm | Ändert die Ausrichtung des Diagramms auf horizontal | |
| Vertikales Diagramm | Ändert die Ausrichtung des Diagramms auf vertikal | |
| Ausrichtung ändern | Ändert die Ausrichtung des Diagramms, um den Platz im Fenster zu maximieren | |
| Ebenen ein-/ausblenden | Blendet Informationsebenen im Diagramm ein oder aus |
So blenden Sie Layer in einem Bedrohungsaktivitätsdiagramm ein bzw. aus:
- Klicken Sie in der Symbolleiste auf
. - Wählen Sie in dem sich dann öffnenden Menü die Ebenen aus, die Sie ein- bzw. ausblenden wollen:
- Ausführungssequenz — Blendet Zahlen auf den Ereignissen ein bzw. aus, die die Reihenfolge angeben, in der die Ereignisse stattgefunden haben.
- Name der Beziehungen — Blendet die Namen der Ereignisse ein oder aus. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.
- Name der Einheiten — Blendet die Namen der Einheiten (wie Vorgänge, Dateien oder Kommunikations- oder operative Ziele) ein oder aus.
Diagrammknoten und -pfeile
Knoten stellen Einheiten dar, die an einer Operation beteiligt sind (wie Vorgänge, Dateien oder Kommunikations- oder operative Ziele), Pfeile hingegen Operationen. Die Zahlen auf dem Pfeil geben die Reihenfolge an, in der die Ereignisse erfasst wurden.
Knoten auswählen
Wenn Sie einen Knoten auswählen, zeigt das Informationsfenster Details der aufgetretenen Ereignisse dar. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.
- Klicken Sie auf den Knoten, um einen einzigen Knoten auf dem Diagramm auszuwählen.
- Um mehrere nicht benachbarte Knoten auf dem Diagramm auszuwählen, halten Sie die Strg- oder Umschalttaste gedrückt und klicken Sie auf die Knoten, die Sie auswählen wollen.
- Um mehrere benachbarte Knoten auf dem Diagramm auszuwählen, halten Sie die Strg- oder Umschalttaste gedrückt und klicken Sie auf einen leeren Bereich des Diagramms. Ziehen Sie die Maus, um ein Auswahlfeld zu zeichnen, das alle Knoten beinhaltet, die Sie auswählen wollen.
Klicken Sie mit der rechten Maustaste auf einen Knoten oder eine Knotengruppe, um das Kontext-Menü zu öffnen.
Wenn Sie mehrere Knoten in dem Diagramm auswählen und die rechte Maustaste drücken, werden nur Optionen, die auf alle ausgewählten Knoten zutreffen, im Kontext-Menü angezeigt.
Die Farbe eines Knotens zeigt an, wie das Element klassifiziert ist:
- Rot — Malware
- Orange — Verdächtig oder nicht klassifiziert
- Blau oder Grün — Goodware
Knoten- und Statussymbole
Knotensymbole stellen verschiedene Einheiten in einer Operation dar.
| Symbol | Beschreibung |
|---|---|
|
Prozess |
|
Remote-Thread |
|
Bibliothek |
|
Schutz |
|
Ordner |
|
Nicht ausführbare Datei |
|
Komprimierte Datei |
|
Ausführbare Datei |
|
Skriptdatei |
|
Windows Registry-Zweigwert |
|
In einer Kommunikation verwendete URL |
|
IP-Adresse in einer Kommunikation |
Statussymbole zeigen die auf dem Knoten ergriffene Aktion:
| Symbol | Aktion |
|---|---|
|
Datei gelöscht |
|
Datei desinfiziert |
|
Datei in Quarantäne gestellt |
|
Prozess gelöscht |
Untergeordnete Knoten anzeigen
Das Diagramm kann bis zu höchstens 25 Knoten auf derselben Ebene anzeigen. Wenn es mehr als 25 Knoten gibt, zeigt das Diagramm keine Knoten. Ein Symbol unten links auf einem Knoten zeigt an, dass der Knoten ausgeblendete untergeordnete Knoten hat.
Anzeigen von untergeordneten Knoten:
- Klicken Sie mit der rechten Maustaste auf einen Knoten.
Das Kontext-Menü wird geöffnet. - Wählen Sie eine der folgenden Optionen:
- Übergeordneten Knoten anzeigen — Zeigt den übergeordneten Knoten des ausgewählten Knoten.
- Alle Aktivitäten anzeigen — Zeigt alle untergeordneten Knoten des Knoten, unabhängig vom Typ. Die maximale Zahl der angezeigten Knoten ist 25. Die Gesamtzahl der Ereignisse, die den übergeordnete Knoten mit dem untergeordneten Knoten verbinden, wird angezeigt.
- Untergeordnete Knoten anzeigen — Öffnet eine Dropdown-Liste. Wählen Sie den Typ der untergeordneten Knoten, die angezeigt werden sollen, und wählen Sie die Anzahl Knoten für jeden Typ. Zu den Knotentypen gehören:
- Komprimierte Dateien
- Datendateien (Dateien mit nicht identifizierten Informationen)
- DNS (Domänen, die die IP nicht lösen konnten)
- Downloads
- IPs (IP-Adressen für eines der Enden der Kommunikation)
- Bibliotheken
- PE-Dateien (ausführbare Dateien)
- Prozesse
- Schutz (von Virenschutz ergriffene Aktion)
- Remote-Threads
- Skriptdateien (Dateien mit Befehlssequenzen)
- Windows Registry-Einträge
Knoten verschieben und löschen
Sie können Knoten verschieben und löschen, um das Diagramm auf die Informationen zu fokussieren, die Sie sehen wollen.
Um einen einzigen Knoten zu verschieben, wählen Sie den Knoten aus und ziehen Sie ihn an einen neuen Ort.
Alle Linien, die den Knoten mit seinen Nachbarn verbinden, werden verschoben und passen sich an den neuen Ort des Knoten an.
So verschieben Sie das Diagramm, um andere Knoten zu sehen:
- Klicken Sie auf einen leeren Bereich des Diagramms.
- Ziehen Sie das Diagramm in eine beliebige Richtung.
Löschen eines einzigen Knoten:
- Klicken Sie mit der rechten Maustaste auf den Knoten, den Sie löschen wollen.
Das Kontext-Menü wird geöffnet. - Wählen Sie Löschen (x).
Es wird ein Dialogfeld geöffnet, das die Gesamtzahl der Knoten zeigt, die vom Diagramm gelöscht werden. Dies beinhaltet den ausgewählten Knoten und dessen untergeordnete Knoten.
- Klicken Sie auf OK.
Löschen mehrerer Knoten:
- Halten Sie die Strg-Taste gedrückt.
- Klicken Sie auf die Knoten, die Sie löschen wollen.
- Klicken Sie mit der rechten Maustaste auf einen der Knoten.
Das Kontext-Menü wird geöffnet. - Wählen Sie Löschen (x).
Es wird ein Dialogfeld geöffnet, das die Gesamtzahl der Knoten zeigt, die vom Diagramm gelöscht werden. Dies beinhaltet die ausgewählten Knoten und deren untergeordnete Knoten.
- Klicken Sie auf OK.
Pfeile
Die Farbe der Pfeile zeigt an, ob die Aktion blockiert oder zugelassen wurde.
- Rot — Die Aktion wurde als Bedrohung klassifiziert und blockiert.
- Schwarz — Die Aktion wurde zugelassen.
Die Stärke des Pfeils stellt dar, wie oft derselbe Aktionstyp zwischen zwei Knoten ausgeführt wurde. Je größer die Anzahl der Aktionen, desto breiter ist der Pfeil.
Wenn Sie auf einen Pfeil klicken, zeigt das Informationsfenster das Datum an, an dem die ersten und letzten Aktionen in der Gruppe stattgefunden haben. Die Richtung des Pfeils zeigt die Richtung der Aktion an.
Die Zahlen auf den Pfeilen geben die Reihenfolge an, in der die Ereignisse erfasst wurden. Wenn Sie den Label eines Pfeils anklicken, zeigt das Informationsfenster die Ereignisse an, die stattgefunden haben. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.
Zeitstrahl
Der Zeitstrahl befindet sich unter dem Diagramm. Er beinhaltet ein Histogramm mit Balken, die das von einer Bedrohung ausgeführte Ereignis darstellen. Zeigen Sie auf die Balken, um eine Kurzinfo der Anzahl der Ereignisse und des Datums, an dem sie protokolliert wurden, zu sehen.
Mit den Kontrollen unten auf dem Zeitstrahl können Sie die Ansicht zu genau dem Moment positionieren, als die Bedrohung eine Aktion ausgeführt hat, und weitere Informationen abrufen, die Ihnen bei der Durchführung einer forensischen Analyse helfen können.
- Um einen spezifischen Zeitraum auf dem Zeitstrahl auszuwählen, ziehen Sie die Intervallwähler nach links oder rechts. Das Diagramm zeigt die Ereignisse und Knoten, die innerhalb des Zeitraums eingetreten sind.Sonstige Ereignisse und Knoten werden verschwommen dargestellt.
- Um den Zeitstrahl auszublenden, klicken Sie auf Zeitstrahl ausblenden.Um ihn wieder einzublenden, klicken Sie auf Zeitstrahl anzeigen.
- Um zur Standard-Zeitstrahleinstellung zurückzukehren, klicken Sie auf Zeitstrahl zurücksetzen.