Zum Inhalt

Bedrohungsanalyse-Center

Mit dem Dashboard des Bedrohungsanalyse-Centers können Sie Erkennungszahlen und -Trends anzeigen und analysieren.

Gehen Sie zum Bedrohungsanalyse-Center, um das Dashboard anzuzeigen.

Wir haben das Dashboard mit neuen Funktionen aktualisiert. Wenn Sie zum alten Dashboard zurückkehren möchten, wählen Sie die Option Standard-Dashboard in der oberen rechten Ecke des Dashboards aus.

Dashboard umschalten.

Wenn Sie Hilfe zur Verwendung des Dashboards benötigen, wählen Sie unten die entsprechende Registerkarte aus.

Das neue Dashboard bietet Ihnen mehr Erkennungsdaten sowie bessere Anzeigeoptionen.

Sie können jetzt wie folgt vorgehen:

  • Den Zeitraum auswählen, für den Erkennungsdaten angezeigt werden sollen.
  • Nach diversen Aspekten der Erkennung aufgeschlüsselte Erkennungszahlen einsehen.
  • Nach Erkennungen eines bestimmten Typs, Schweregrads und mehr filtern. Siehe Filter festlegen.
  • Nach geografischem Standort zugeordnete Erkennungen anzeigen.
  • Auf die Erkennungszahlen in jedem Abschnitt klicken, um direkt zu den vorgefilterten Daten zu wechseln.

Erkennungen insgesamt

Zeigt die Gesamtzahl der Erkennungen und den prozentualen Anteil der Erkennungen zu jedem Schweregrad an.

Klicken Sie auf eine beliebige Zahl, um die Seite Erkennungen zu öffnen, die vorgefiltert ist und den gewünschten Schweregrad anzeigt. Die Seite wird in einer neuen Registerkarte geöffnet.

Sie können auch Filter verwenden, wie unter Filter festlegen beschrieben wird.

Erkennungen insgesamt.

Gesamtanzahl Erkennungen

Zeigt die Anzahl der Erkennungen während des ausgewählten Zeitraums sowie den Trend basierend auf den Durchschnittswerten in jeder Stunde oder an jedem Tag an.

Die Trendlinie wird nur für Zeitbereiche bis zu 7 Tagen angezeigt.

Sie können dieses Diagramm so ändern, dass die Zahlen nach verschiedenen Aspekten der Erkennung aufgeschlüsselt angezeigt werden. Siehe Aufgegliederte Ansicht wählen.

Sie können auch Filter verwenden, wie unter Filter festlegen beschrieben wird.

Gesamtanzahl Erkennungen und Trenddiagramm.

Aufgegliederte Ansicht wählen

Sie können das Diagramm mit der Gesamtanzahl der Erkennungen so anpassen, dass eine Aufschlüsselung der Erkennungszahlen angezeigt wird. Zum Beispiele können Sie nach Schweregrad aufgeschlüsselte Erkennungsnummern anzeigen: kritisch, hoch, mittel oder niedrig.

Gehen Sie dazu zum Dropdown-Menü über dem Diagramm und wählen Sie die Funktion aus, für die Sie eine Aufschlüsselung anzeigen möchten.

Dropdown-Menü.

In diesem Fall ändern sich die Balkendiagramme, sodass jeder Balken durch eine Gruppe von Balken ersetzt wird. Wenn Sie den Schweregrad auswählen, werden die Erkennungszahlen für kritisch, hoch, mittel oder niedrig in separaten Balken angezeigt. Bewegen Sie den Mauszeiger über eine Leiste, um die Zahlen anzuzeigen.

Hinweis

Die MITRE-Taktik-Ansicht verwendet ein Liniendiagramm. Separate Zeilen zeigen Erkennungen für verschiedene Taktiken an.

Balkendiagramm mit einer Aufschlüsselung.

Diagramm- oder Heatmap-Ansicht auswählen

Sie können die Erkennungszahlen als Diagramm oder als Heatmap-Kalender anzeigen. Der Standardwert ist die Diagrammansicht. Sie können dies mit den Symbolen oben rechts auf der Seite ändern. Klicken Sie für die Heatmap auf das Symbol auf der rechten Seite.

Heatmap-Symbol.

Top-10 Einheiten

Hier werden die zehn Einheiten (beispielsweise Server) mit den meisten Erkennungen angezeigt. Klicken Sie auf die Anzahl der Erkennungen, um eine Aufschlüsselung nach Risikostufe anzuzeigen.

Sie können das Dropdown-Menü über der Liste verwenden, um Erkennungszahlen wie folgt anzuzeigen:

  • Nach Einheit: Zeigt die Geräte mit den meisten Erkennungen an.
  • Nach Sensor: Zeigt die Sensoren mit den meisten Erkennungen an. Sensoren sind Produkte, die Erkennungen an den Sophos Data Lake melden.

Sie können auch Filter verwenden, wie unter Filter festlegen beschrieben wird.

Top-10 Benutzer

Die zehn Benutzer mit den meisten Erkennungen. Klicken Sie auf die Anzahl der Erkennungen, um eine Aufschlüsselung nach Risikostufe anzuzeigen.

Sie können auch Filter verwenden, wie unter Filter festlegen beschrieben wird.

Sensor-Erkennungsstandort

Auf einer Weltkarte werden die Anzahl und Aufschlüsselung der Erkennungen in verschiedenen geografischen Regionen angezeigt. Durch Zoomen können Sie die Erkennungszahlen für kleinere Regionen wie Land, Bundesland oder Stadt anzuzeigen.

Klicken Sie auf die Anzahl der Erkennungen für eine Region, um eine Aufschlüsselung nach Risikostufe anzuzeigen.

Sie können diesen Abschnitt wie in Filter festlegen beschrieben anpassen.

Karte mit Sensor-Standort.

MITRE-TTP (Taktiken, Techniken, Prozesse)

Diese Heatmap zeigt die Anzahl der Erkennungen in jeder MITRE-Kategorie an. Bewegen Sie den Mauszeiger über eine Taktik, um eine Aufschlüsselung nach Risikostufe anzuzeigen.

Klicken Sie auf eine Taktik, um in die während des Zeitraums erkannten MITRE-Techniken hineinzuzoomen. Klicken Sie erneut, um zur Taktik-Ansicht zurückzukehren.

Sie können diesen Abschnitt wie in Filter festlegen beschrieben anpassen.

Heatmap der Erkennungen für jeden MITRE-Typ.

Letzte Erkennungen

Hier werden die neuesten Erkennungen in Ihrem Netzwerk angezeigt.

Sie können auch Filter verwenden, wie unter Filter festlegen beschrieben wird.

Letzte Erkennungen.

Zeitbereich festlegen

Der Standardzeitbereich ist die letzten 24 Stunden. Sie können dies in die letzte Stunde, die letzten 7 Tage oder die letzten 30 Tage ändern.

Sie können auch Benutzerdefiniert auswählen und einen benutzerdefinierten Bereich festlegen.

Filter festlegen

Mit Filtern können Sie auswählen, welche Daten angezeigt werden. Klicken Sie auf Filter, um die Auswahlmöglichkeiten anzuzeigen.

Filtermenü.

Sie können die folgenden Filtersätze festlegen:

  • Einheit. Geben Sie den Namen eines bestimmten Geräts ein, um die dort aufgetretenen Erkennungen anzuzeigen.
  • Schweregrad. Wählen Sie diese Option, um Erkennungen mit einer oder mehreren spezifischen Risikostufen anzuzeigen.
  • Typ. Wählen Sie diese Option, um Erkennungen eines bestimmten Bedrohungstyps anzuzeigen.
  • Betriebssystem. Wählen Sie diese Option aus, um Erkennungen anzuzeigen, die auf Geräten mit einem bestimmten Betriebssystem oder bestimmten Betriebssystemen aufgetreten sind.
  • MITRE-Taktiken. Wählen Sie diese Option, um Erkennungen anzuzeigen, die mit bestimmten MITRE-Taktiken übereinstimmen.
  • Erkennung. Geben Sie einen Erkennungsnamen ein, um Instanzen dieser Erkennung anzuzeigen.
  • Kategorie. Wählen Sie diese Option, um die von einem bestimmten Sensortyp gemeldeten Erkennungen anzuzeigen. Beispielsweise Firewall.

Sie können in jedem Satz mehrere Optionen auswählen oder auf Alle auswählen neben einem Satz klicken. Sie können auch Optionen in mehreren Sätzen wählen.

Sie können Filter mit einer Ansicht kombinieren, die aus dem Dropdown-Menü ausgewählt wurde (sofern vorhanden).

Details in einem Diagramm hervorheben

Sie können bestimmte Balken oder Linien in einem Diagramm hervorheben. Bewegen Sie den Mauszeiger über die Farbfelder in der Legende neben dem Diagramm. Klicken Sie beispielsweise in einem Diagramm, das die Erkennungen nach Schweregrad anzeigt, auf die Farbe für eine bestimmte Risikostufe, um diesen Balken hervorzuheben.

Mauszeiger über die Legende, um Balken hervorzuheben.

Das Standard-Dashboard besteht aus Tabellen mit aktuellen Aktivitäten zu erkannten Bedrohungen und Analysen.

Aktuelle Fälle

Mit Fällen können Sie potenzielle Bedrohungen untersuchen. Sie gruppieren verdächtige Ereignisse, die wir erkannt haben, und unterstützen Sie bei der Durchführung forensischer Arbeiten.

Bei Erkennungen erstellen wir automatisch einen Fall und fügen die zugehörigen Erkennungen später hinzu. Alternativ können Sie Ihre eigene Analyse erstellen und Erkennungen dazu hinzufügen. Siehe Fälle.

Das Dashboard listet die aktuellen Fälle auf und zeigt deren aktuellen Status an.

Um alle Ihre Fälle anzuzeigen, klicken Sie auf Alle anzeigen.

Letzte Erkennungen

Erkennungen identifizieren Aktivitäten auf Ihren Geräten, die ungewöhnlich oder verdächtig sind, aber nicht blockiert wurden. Sie unterscheiden sich von Ereignissen, bei denen wir Aktivitäten erkennen und blockieren, von denen wir bereits wissen, dass sie bösartig sind.

Wir generieren Erkennungen auf der Basis von Daten, die Geräte in den Sophos Data Lake hochladen.

Das Dashboard listet die letzten Erkennungen auf und umfasst Details zu ihrem Risikograd, dem Ort, an dem sie aufgetreten sind, und dem Produkt oder der Integration, das bzw. die sie erkannt hat.

Um alle Erkennungen anzuzeigen, klicken Sie auf Alle anzeigen.

Neueste Bedrohungsgraphen

Unter „Bedrohungsgraphen“ können Sie Malware-Angriffe untersuchen. Klicken Sie auf einen Graphen, um herauszufinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oder Dateien betroffen sind.

Bedrohungsgraphen sind nur für Windows-Geräte verfügbar.

Das Dashboard zeigt Bedrohungsgraphen auf verschiedenen Registerkarten an, je nachdem, wer sie erstellt hat:

  • Graphen automatisch generiert von Sophos.
  • Von einem Sophos-Central-Admin angelegte Graphen.

In diesem Bereich zeigen wir nur Bedrohungsgraphen mit dem Status „neu“ an. Wenn ein Bedrohungsgraph geschlossen oder in Bearbeitung ist, wird er auch dann nicht angezeigt, wenn er ein neueres Datum hat als ein Graph mit dem Status „neu“.

Um alle Ihre Graphen anzuzeigen, klicken Sie auf Alle Bedrohungsgraphen anzeigen.

Jüngste Live-Discover-Abfragen

Mit Live Discover können Sie Abfragen auf Ihren Geräten wie folgt ausführen:

  • Durchsuchen von Geräten nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden.
  • Suchen nach Anzeichen einer vermuteten oder bekannten Bedrohung, wenn Sophos Central die Bedrohung an anderer Stelle gefunden hat.
  • Überprüfen der Einhaltung von Sicherheitsstandards.

Das Dashboard zeigt die zuletzt von Ihnen durchgeführten Abfragen an.

Um alle Details einer Abfrage und deren Ergebnisse anzuzeigen, klicken Sie in der Liste auf den entsprechenden Namen.

Um alle aktuellen Abfragen anzuzeigen, klicken Sie auf Alle anzeigen.

Um eine neue Abfrage auszuführen, klicken Sie auf Neue Sitzung.

Kürzlich geplante Abfragen

Sie können Live Discover-Abfragen planen.

Das Dashboard zeigt Ihre letzten geplanten Abfragen und deren Häufigkeit an.

Um alle Details einer geplanten Abfrage anzuzeigen und auf die Ergebnisse zuzugreifen, klicken Sie in der Liste auf den Namen der Abfrage.

Um alle geplanten Abfragen anzuzeigen, klicken Sie auf Alle anzeigen.