Ausführen von Aktionen zur Problembehebung bei Vorfällen

Im Rahmen der Überwachung der von ThreatSync erkannten Bedrohungen und der Überprüfung der Vorfallsdetails könnten Sie eine Aktion für die Behebung eines Vorfalls durchführen oder eine von einem WatchGuard-Produkt oder -Dienst automatisch durchgeführte Aktion rückgängig machen wollen.

Um Daten an ThreatSync zu senden und Aktionen zu empfangen, müssen die Fireboxen mit Fireware v12.9 oder höher laufen und für die Protokollierung und Berichterstellung oder Cloud-Verwaltung zu WatchGuard Cloud hinzugefügt sein.

Sie können folgende Aktionen manuell von der ThreatSync-Benutzeroberfläche aus durchführen:

  • IP blockieren/IP-Blockierung aufheben — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse bzw. hebt deren Blockierung auf. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen im WatchGuard Cloud-Konto die Verbindungen zu und von der IP-Adresse bzw. heben die Blockierung auf.

    Von ThreatSync blockierte IP-Adressen werden in Fireware oder WatchGuard Cloud nicht in der Liste mit den von der Firebox blockierten Seiten aufgeführt. Weitere Informationen finden Sie unter Von ThreatSync blockierte IP-Adressen verwalten.

  • Datei löschen / Datei wiederherstellen — Löscht die mit dem Vorfall verknüpfte markierte Datei oder stellt eine zuvor gelöschte Datei wieder her.
  • Gerät isolieren/Geräteisolierung beenden — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration vertraulicher Informationen zu blockieren, oder beendet die Isolierung eines zuvor isolierten Computers.
  • Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.

Nicht alle Aktionen sind auf alle Vorfallstypen anwendbar.

So führen Sie eine Aktion für einen oder mehrere Vorfälle auf der Seite Vorfälle aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Aktivieren Sie in der linken Spalte das Kontrollkästchen für einen oder mehrere Vorfälle.
    Die Menüs Status ändern und Aktionen werden angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die auszuführende Aktion aus.

Screenshot of the Actions drop-down list in the Incidents page

Die Empfehlungen für einen Vorfall auf der Seite Vorfallsdetails bestimmen, welche Aktionen auf der Dropdown-Liste Aktionen auf der Seite Vorfälle verfügbar sind. Falls beispielsweise die empfohlene Aktion für einen Vorfall das Isolieren eines Geräts ist, wird die Option Gerät isolieren/Geräteisolierung beenden in der Dropdown-Liste Aktionen aktiviert.

So führen Sie eine Aktion für einen Vorfall auf der Seite Vorfallsdetails aus:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall in der Vorfallsliste.
    Die Seite Vorfallsdetails wird geöffnet.
  3. So führen Sie eine Aktion aus:
    • Klicken Sie im Abschnitt Bedrohungsdetails auf eine Aktion.
    • Klicken Sie in den anderen Abschnitten auf das Blitz-Symbol , um das Menü Aktion zu öffnen und wählen Sie dann eine Aktion.

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

Falls ein Fehler auftritt und ThreatSync eine Aktion nicht durchführen kann, wird ein rotes Ausrufezeichen oder eine Fehlermeldung angezeigt. Weitere Informationen finden Sie unter Fehlersuche bei Vorfallsfehlern.

Sie können Benachrichtigungen einrichten, um Warnmeldungen zu generieren, wenn Aktionen ausgeführt werden. Weitere Informationen finden Sie unter ThreatSync-Benachrichtigungsrichtlinien konfigurieren.

Eine Aktion beenden oder rückgängig machen

Falls nötig können Sie eine zuvor ausgeführte Aktion beenden oder rückgängig machen. Wenn Sie beispielsweise eine IP-Adresse blockiert haben, können Sie die Blockierung der IP-Adresse aufheben.

So beenden Sie eine Aktion / machen Sie eine Aktion rückgängig auf der Seite Vorfälle:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Aktivieren Sie in der linken Spalte das Kontrollkästchen für einen oder mehrere Vorfälle.
    Die Menüs Status ändern und Aktionen werden angezeigt.
  3. Wählen Sie aus der Dropdown-Liste Aktionen die Aktion aus, die beendet oder rückgängig gemacht werden soll.

So beenden Sie eine Aktion / machen Sie eine Aktion rückgängig auf der Seite Vorfallsdetails:

  1. Wählen Sie Überwachen > Bedrohungen > Vorfälle.
    Die Seite Vorfälle wird geöffnet.
  2. Klicken Sie auf einen Vorfall in der Vorfallsliste.
    Die Seite Vorfallsdetails wird geöffnet.
  3. Wählen Sie im Abschnitt Bedrohungsdetails die Aktion, die beendet oder rückgängig gemacht werden soll.

Screenshot of the Threat Details section showing the Stop button to stop a process or action

So heben Sie die Blockierung einer IP-Adresse auf der Seite Von ThreatSync blockierte IPs auf:

  1. Wählen Sie Konfigurieren > ThreatSync > Von ThreatSync blockierte IPs.
    Die Seite Von ThreatSync blockierte IPs wird geöffnet.
  2. Wählen Sie eine oder mehrere blockierte IP-Adressen aus.
  3. Klicken Sie auf Blockierung aufheben.
    Der Datenverkehr von und zu den ausgewählten IP-Adressen wird von den infrage kommenden Fireboxen nicht länger blockiert.

Related Topics

Prüfen der Vorfallsdetails

Den Status von Vorfällen archivieren oder ändern

Von ThreatSync blockierte IP-Adressen verwalten

Fehlersuche bei Vorfallsfehlern

Schnellstart — ThreatSync einrichten