Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=report-sophoslabs-analysis-report

SophosLabs-Analysebericht

Der SophosLabs-Analysebericht zeigt Beurteilungen aus SophosLabs für E-Mail-Nachrichten, die von Administratoren und Benutzern als Gemeldete Bedrohung (False Negatives) oder als Bereinigt gemeldet (False Positives) gemeldet wurden. Er enthält auch eine Aufschlüsselung der Bedrohungen (Malware, Identitätsdiebstahl und Spam) sowie Massennachrichten, die von Sophos Email kategorisiert werden.

Der Bericht hilft Ihnen dabei, zu beurteilen, wie gut Ihre aktuellen Sophos Email-Einstellungen funktionieren, und Muster im Benutzerverhalten zu identifizieren. Wenn einige Benutzer selten riskante Nachrichten melden, sollten Sie deren Aktivitäten überprüfen, um sicherzustellen, dass sie Bedrohungen korrekt erkennen und melden.

Um den Bericht zu sehen, gehen Sie zu Berichte > Email Security > SophosLabs-Analysebericht.

Im folgenden Video erfahren Sie, wie Administratoren und Benutzer False Positives oder False Negatives an SophosLabs melden und Beurteilungen einsehen können.

Nachrichten an SophosLabs melden

Administratoren und Benutzer können verdächtige oder falsch klassifizierte Nachrichten an SophosLabs melden, um weitere Analysen durchzuführen. Diese Berichte tragen dazu bei, die Bedrohungserkennung von Sophos zu verbessern und False Negatives sowie False Positives in Ihrer Organisation zu reduzieren.

Zum Melden von Nachrichten gibt es mehrere Möglichkeiten:

  • Meldung über das Quarantäneportal

    Administratoren und Benutzer können Nachrichten im Quarantäneportal als Spam oder Nicht-Spam melden, wenn die Nachricht aufgrund Ihrer Richtlinie in Quarantäne gestellt wurde. Diese Einreichungen werden zur Analyse an SophosLabs gesendet.

    Antispam

    Nachrichten-Authentifizierung

    Identitätswechsel-Schutz

  • Meldung über Smart Banner in E-Mails

    Administratoren und Benutzer können in den in empfangenen E-Mails angezeigten Smart Bannern auf Report klicken. Wenn die Berichterstattung in der Richtlinie aktiviert ist, steht die Option Report für Nachrichten zur Verfügung, die als Extern oder Nicht vertrauenswürdig markiert sind.

    Endbenutzereinstellungen für Nachrichten

  • Meldung über VIP Impersonation Protection

    Nachrichten, die Benutzer auf Ihrer VIP-Liste imitieren, werden automatisch erkannt und in Quarantäne gestellt. Administratoren und Benutzer können diese Nachrichten dann an SophosLabs melden, um weitere Analysen durchzuführen.

    Identitätswechsel-Schutz

  • Meldung während des manuellen Rückrufs

    Wenn Administratoren zugestellte Nachrichten manuell zurückrufen, können sie diese an SophosLabs melden und einen Grund angeben, z. B. Phishing, Spam oder Malware.

    Manuelles Rückfordern

Mit diesen Berichtsmethoden erhält SophosLabs wertvolles Feedback zur Verbesserung der Erkennungsgenauigkeit und zum Schutz Ihrer Organisation vor sich weiterentwickelnden Bedrohungen.

Gemeldete Nachricht aus Nachrichtendetails anzeigen

Wenn eine Nachricht über Nachrichtendetails an SophosLabs gesendet wurde, wird sie als Gemeldete Bedrohung oder als Bereinigt gemeldet gekennzeichnet. Sie können auf den Link klicken, um den SophosLabs-Analysebericht zu öffnen. Der Bericht wird automatisch gefiltert, um die ausgewählte Nachricht anzuzeigen.

Link zum Öffnen des „SophosLabs-Analyseberichts“.

SophosLabs-Berichtsdetails

Der SophosLabs-Analysebericht hilft Ihnen, schnell zu überprüfen, wie die Nachricht analysiert wurde und welche Beurteilung SophosLabs zurückgegeben hat.

Der Bericht enthält Filter, statistische Übersichten, ein Diagramm und Übersichtskarten, um Ihnen zu helfen, Einreichungsmuster und Beurteilungen schnell nachzuvollziehen.

Filter

Sie können Einreichungen der letzten 365 Tage anzeigen. Standardmäßig zeigt der Bericht Einreichungen der letzten 30 Tage an. Verwenden Sie das Dropdown-Menü, um nach Gemeldete Bedrohung oder Bereinigt gemeldet zu filtern.

Übersicht der Erkennungsstatistik

Die Übersicht der Erkennungsstatistik oben im Bericht hat zwei Abschnitte:

  1. Von Sophos erkannt: Zeigt die Anzahl der Meldungen an, die Sophos während des ersten Scans als „Bedrohung“ oder „Bulk“-Meldungen identifiziert hat.
  2. Von den SophosLabs analysiert: Zeigt die Anzahl der Meldungen an, die nach der Analyse von SophosLabs als „Bedrohung“, „Bulk“, „Nicht kategorisiert“ oder „Bereinigt“ kategorisiert wurden.

„Malware“-, „Identitätsdiebstahl“- und „Spam“-Nachrichten werden als „Bedrohungen“ betrachtet.

Sie können über jeden Abschnitt der Übersicht der Erkennungsstatistik fahren, um eine Aufschlüsselung der Nachrichtenkategorien zu sehen. Um weitere Details anzuzeigen, können Sie die folgenden Aktionen ausführen:

  • Klicken Sie im Fenster Von Sophos erkannt auf eine Nummer, um zum Bericht „Nachrichtenübersicht“ zu gelangen.
  • Klicken Sie im Fenster Von Sophos analysiert auf eine Nummer, um die Tabelle basierend auf dieser Beurteilung zu filtern.

Um die Übersicht der Erkennungsstatistik auszublenden, klicken Sie auf Diagramm ausblenden oben rechts auf der Seite.

Diagramm

Das Diagramm zeigt eine Zeitachsenansicht der Nachrichten, die zur Analyse an SophosLabs gesendet wurden. So können Sie verfolgen, wann verschiedene Typen von Nachrichten gemeldet und wie sie im Laufe der Zeit kategorisiert wurden.

Folgende Optionen stehen Ihnen mit dem Diagramm zur Verfügung:

  • Sie können den Mauszeiger über das Diagramm bewegen, um die Anzahl der Nachrichten in den einzelnen Kategorien nach Datum anzuzeigen.
  • Sie können auf ein Legendenelement klicken, um bestimmte Kategorien anzuzeigen oder auszublenden, sodass Sie sich auf diejenigen konzentrieren können, die Sie am meisten interessieren.
  • Sie können auf Diagramm ausblenden klicken, um das Diagramm auszublenden.

Karten

Der Bericht enthält vier Übersichtskarten, die wichtige Erkenntnisse aus den Einreichungen hervorheben:

  • Häufigste Absender
  • Häufigste Absender-Domänen
  • Häufigste Absender-IPs
  • Häufigste Melder

Mit diesen Karten können Sie Quellen potenzieller Bedrohungen identifizieren und Benutzer erkennen, die häufig verdächtige Nachrichten melden. Sie können diese Erkenntnisse nutzen, um Richtlinien anzupassen, die Erkennung zu verbessern oder bestimmte Benutzer zu schulen.

Folgende Optionen stehen Ihnen mit den Karten zur Verfügung:

  • Sie können auf eine Zahl auf einer beliebigen Karte klicken, um eine Liste der übereinstimmenden Einreichungen anzuzeigen.
  • Sie können auf das Erweiterungssymbol Symbol „Erweitern“. klicken, um eine detaillierte Ansicht der Karte zu öffnen. Jede Karte zeigt bis zu 30 Einträge und enthält eine Suchleiste, um Ihnen bei der Suche nach spezifischen Ergebnissen zu helfen.
  • Sie können auf Zusammenfassung ausblenden klicken, um die Karten auszublenden.

Berichtstabelle

In der Berichtstabelle wird die Anzahl der verarbeiteten Nachrichten für jedes Datum innerhalb des ausgewählten Bereichs angezeigt. Sie können die Tabelle nach jeder Spalte sortieren.

Jede Zeile stellt eine Nachricht dar, die zur Analyse an SophosLabs gesendet wurde.

Spalten

Der Bericht zeigt folgende Details:

  • Richtung: Eingehend oder Ausgehend. Klicken Sie auf das Filtersymbol Filtersymbol. und wählen Sie Eingehend, Ausgehend oder beides aus, um die Zeilen zu filtern.
  • Absender: Die E-Mail-Adresse des Absenders.
  • Melder: Die E-Mail-Adresse des Melders.
  • Betreff: Klicken Sie auf den Betreff, um weitere Details zur Nachricht anzuzeigen.
  • Empfangsdatum: Zeigt Datum und Uhrzeit des Erhalts der Nachricht.
  • Analyseurteil: Gibt die SophosLabs-Beurteilung an, z. B. „Malware“, „Impersonation“, „Spam“, „Bulk“, „Nicht kategorisiert“ und „Sauber“. Die Meldungen, die noch von SophosLabs analysiert werden müssen, werden als „Analyse ausstehend“ angezeigt.

Details zum „SophosLabs-Analysebericht“.

Erweiterte Ansicht

Sie können eine Zeile erweitern, um detaillierte Informationen zu einer gemeldeten Nachricht anzuzeigen. Die erweiterte Ansicht enthält die folgenden Details:

  • Zeitstempel, zu dem die Nachricht empfangen wurde
  • Zeitstempel, zu dem die Nachricht gemeldet wurde
  • Quell-IP-Adresse und sendender Mail-Server
  • Ursprüngliche Nachrichtenkategorie
  • Analyseurteil
  • Melder und andere Empfänger

Erweiterte Details zum „SophosLabs-Analysebericht“.

Aktionen

In dem SophosLabs-Analysebericht können Sie nach Einreichungen suchen, Absender zulassen oder blockieren und Berichte planen oder exportieren.

Anleitung zur Suche

Sie können die Erweiterte Suche verwenden, um relevante Berichtseinreichungen zu suchen.

Hinweis

Geben Sie mindestens drei Zeichen eines Worts, einer E-Mail-Adresse oder einer IP-Adresse ein, um Teilübereinstimmungen zu finden. Lassen Sie ein Feld leer, wenn Sie nicht danach filtern möchten.

Die folgenden Suchbedingungen stehen in der Erweiterten Suche zur Verfügung:

  • Absender: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.

  • Melder: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Beispiel

    Sie können john eingeben, um john.doe@example.com zu finden.

  • Quelle: Quell-IP-Adresse oder Mailserver. Unterstützt einen partiellen IP-Adresswert.

    Beispiel

    Sie können 192 eingeben, um 192.168.0.1 zu finden.

  • Betreff: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Beispiel

    Sie können test eingeben, um spam test zu finden.

  • Urteil: Wählen Sie aus Beliebig, Ausstehend, Massen, Spam, Malware, Identitätsdiebstahl, Nicht kategorisiert, Bereinigt, Bedrohungen (Malware, Identitätsdiebstahl, Spam).

  • Gemeldet am: Wählen Sie das Datum der Einreichung aus.

Sie können verschiedene Suchbedingungen kombinieren. Wenn Sie mehrere Suchbedingungen verwenden, verknüpfen wir diese mit einem logischen AND-Operator. Eine Nachricht muss also alle Suchbedingungen erfüllen, um in den Ergebnissen angezeigt zu werden.

Nachdem Sie Ihre Suchbedingungen angewendet haben, klicken Sie auf Suchen, um die Suchergebnisse zu aktualisieren.

In den Suchergebnissen werden die von Ihnen ausgewählten Suchbedingungen im Suchfeld angezeigt. Sie können Ihre Suche anpassen, indem Sie auf das graue Kreuz neben einer Bedingung klicken, um sie zu entfernen. Ihre Suchergebnisse werden sofort aktualisiert.

Absender zulassen

Sie können Absender nur zulassen, wenn Sie Daten vom Typ Bereinigt gemeldet im SophosLabs-Analysebericht anzeigen.

Klicken Sie auf die drei Punkte Symbol mit drei Punkten. rechts neben der Berichtstabelle, um einen Absender, eine Absender-Domäne oder die IP-Adresse zuzulassen.

Option, um Sender, Domäne oder IP-Adresse aus der Berichtstabelle zuzulassen.

Sie können Beschreibungen hinzufügen, wenn Sie die E-Mail-Adresse, Domäne oder IP-Adresse eines Absenders zulassen, um den Grund für jeden „Erlauben“-Eintrag anzugeben. Zum Beispiel könnte eine Beschreibung „vertrauenswürdiger Geschäftspartner“ lauten. Sie können diese Beschreibungen später in der Liste „Erlauben“/„Blockieren“ anzeigen und bearbeiten. Siehe Eingehend erlauben/blockieren.

Absender blockieren

Sie können Absender nur blockieren, wenn Sie Daten vom Typ Gemeldete Bedrohung im SophosLabs-Analysebericht anzeigen.

Klicken Sie auf die drei Punkte Symbol mit drei Punkten. rechts neben der Berichtstabelle, um einen Absender, eine Absender-Domäne oder die IP-Adresse zu blockieren.

Option, um Sender, Domäne oder IP-Adresse aus der Berichtstabelle zu blockieren.

Sie können Beschreibungen hinzufügen, wenn Sie die E-Mail-Adresse, Domäne oder IP-Adresse eines Absenders blockieren, um den Grund für jeden Blockieren-Eintrag anzugeben. Eine mögliche Beschreibung ist etwa „wegen Spam blockiert“. Sie können diese Beschreibungen später in der Liste „Erlauben“/„Blockieren“ anzeigen und bearbeiten. Siehe Eingehend erlauben/blockieren.

Warnung

Seien Sie vorsichtig, wenn Sie eine IP-Adresse blockieren. Sie könnten versehentlich einen ganzen Dienst blockieren. Wenn Sie beispielsweise die von Microsoft 365 verwendete IP-Adresse blockieren, erhalten Sie keine Nachrichten von Microsoft-365-Benutzern.

Report-Zeitpläne

Sie können regelmäßige SophosLabs-Analyseberichte planen, die per E-Mail an ausgewählte Administratoren gesendet werden.

Geführte Tour starten

Für Informationen zum Planen eines Berichts siehe Berichte planen.

Bericht exportieren

Sie können einen SophosLabs-Analysebericht aller Aktivitäten für den ausgewählten Datumsbereich oder für die letzten 90 Tage exportieren. Die exportierte Datei enthält alle angewendeten Filter zum Zeitpunkt des Exports.

Klicken Sie auf Exportieren, um den Bericht als CSV- oder PDF-Datei herunterzuladen.