Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=threat-analysis-cases

Fälle

Die Seite Fälle gruppiert verdächtige Ereignisse, die von unserer Erkennungs-Funktion gemeldet werden, und unterstützt Sie oder das MDR-Team bei der Analyse und Reaktion.

Wie Fälle funktionieren

Wir erstellen und verwalten Fälle automatisch für Sie. Alternativ können Sie eigene erstellen und verwalten.

Fälle, die Sophos verwaltet

Wir erstellen automatisch Fälle für Sie. Diese konzentrieren sich auf die Erkennungen, die unserer Meinung nach analysiert werden müssen.

  • Wir erstellen einen Fall für hochriskante Erkennungen, die nicht bereits am selben Tag in einen Fall aufgenommen wurden.
  • Wir fügen dem Fall spätere Erkennungen hinzu, wenn sie den gleichen Erkennungs-Typ aufweisen.
  • Wenn der Fall auf MDR-Erkennungen basiert, führen wir eine Analyse und Reaktion durch. Dies ist ein „Sophos Central-verwalteter“ Fall.

Hinweis

Wenn der Fall auf Sophos XDR-Erkennungen basiert, führen wir keine Analyse durch. Siehe Von Ihnen verwaltete Fälle.

Von Ihnen verwaltete Fälle

Wenn wir einen Fall basierend auf XDR-Erkennungen erstellen, handelt es sich um einen „selbstverwalteten“ Fall. Wenn Sie Ihre Fälle überprüfen, suchen Sie in den Details nach „Verwaltet von“ nach „Selbst“. Für die Analyse und Reaktion müssen Sie einen Administrator zuweisen. Siehe Fälle zuweisen.

Sie können Ihre eigenen Fälle auch manuell erstellen und verwalten. Siehe Fälle erstellen.

Fälle anzeigen

Um Ihre Fälle anzuzeigen, gehen Sie zu Bedrohungsanalyse-Center > Fälle.

Seite „Fälle“.

Hinweis

Wenn Sie diese Seite zum ersten Mal anzeigen, ist die Liste möglicherweise leer. Rufen Sie die Seite zu einem späteren Zeitpunkt erneut auf, um automatisch erstellte Fälle zu sehen, oder erstellen Sie Ihre eigenen. Wenn Sie immer noch keine Fälle bekommen, siehe Problembehandlung zu Fällen.

Die Fallliste enthält die folgenden Details für jeden Fall.

Schweregrad

Wert Farbe Beschreibung
Kritisch Rot Eine bestätigte Kompromittierung oder ein unbefugter Zugriff auf Systeme.
Hoch Orange Erkennungen, die auf einen gezielten Angriff hinweisen, der zu einer Kompromittierung oder einem unbefugten Zugriff führen könnte.
Mittel Gelb Erkennungen, die von sich aus nicht als bösartig angesehen werden können und die nicht erkennbar gezielt sind.
Niedrig Dunkelgrau Erkennungen, die nicht auf Integritätsverletzungen, bösartige Aktivitäten, eine Kompromittierung oder einen nicht autorisierten Zugriff hinweisen.
Info Hellgrau Ein spezieller Schweregrad, der normalerweise für erste Integritätsprüfungen verwendet wird.

Status

Sophos-verwaltete Fälle können folgende Statusangaben anzeigen:

  • In Bearbeitung: Wir analysieren die Daten noch.
  • Maßnahme erforderlich: Sie müssen tätig werden. Wir haben Ihre Kontakte benachrichtigt.
  • Behoben: Wir haben die Bedrohung behoben.

Verwaltet von

Sie können sehen, wer den Fall verwaltet:

  • Sophos: Unser MDR-Team untersucht den Fall und reagiert darauf. Sie können keine Änderungen vornehmen, aber Sie können dem MDR-Team auf den Fall antworten.
  • Selbst: Sie müssen den Fall untersuchen und Reaktionsmaßnahmen vornehmen.

Fälle zuweisen

Dieser Abschnitt gilt nur für automatisch generierte Fälle, in denen in der Spalte „Verwaltet von“ „Selbst“ angezeigt wird.

Sie können Ihren Administratoren Fälle zur Analyse wie folgt zuweisen:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle, um eine Liste der Fälle anzuzeigen.
  2. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.

  3. Auf der Seite mit den Falldetails ist die Registerkarte Übersicht standardmäßig geöffnet. Gehen Sie folgendermaßen vor:

    1. Wählen Sie unter Bearbeiter den Administrator aus, dem Sie den Fall zuweisen möchten. Wenn der gewünschte Administrator nicht aufgeführt ist, klicken Sie auf Benutzer hinzufügen und fügen Sie ihn hinzu.

      Sie können den Bearbeiter später auswählen, wenn Sie möchten.

    2. Legen Sie den Schweregrad auf Kritisch, Hoch, Mittel, Niedrig oder Info fest.

    3. Ändern Sie den Status von Neu in Untersuchung, wenn Sie bereit sind zu beginnen.
    4. Geben Sie in Zusammenfassung eine Beschreibung für den Fall ein.

    Seite „Falldetails“.

    Informationen zur Analyse eines Falls finden Sie unter Fälle erstellen und unter „Fälle untersuchen“.

Hinweis

Wir benachrichtigen Sophos-Central-Administratoren über neue Fälle, wenn Sie für E-Mail-Benachrichtigungen für sie eingerichtet haben. Siehe E-Mail-Benachrichtigungen.

Falldetails anzeigen

Gehen Sie wie folgt vor, um die Details eines Falls anzuzeigen und dessen Fortschritt zu verfolgen:

  1. Klicken Sie auf der Seite Fälle auf die Fall-ID neben dem Fall.

    Fall-ID-Link in der Fallliste.

  2. Auf der Seite Falldetails werden in der Kopfzeile der Seite Schweregrad, Status und Bearbeiter angezeigt. Außerdem wird angezeigt, wann der Fall erstellt, zugewiesen und zuletzt aktualisiert wurde.

    Falldetails.

Die Seite enthält auch Registerkarten für weitere Details.

Registerkarte „Übersicht“

Die Registerkarte Übersicht ist standardmäßig geöffnet und zeigt eine Fallzusammenfassung, Details zur MITRE-Taktik und die letzten Aktivitäten an.

Registerkarte „Übersicht“ zu Falldetails.

Zusammenfassung

Wenn Sie ein MDR-Kunde sind, gibt das MDR-Team eine Fallzusammenfassung für Sie ein. Wenn Sie ein XDR-Kunde sind, geben Sie Ihre eigene Fallbeschreibung ein.

MITRE-Taktiken

MITRE-Taktiken listet alle MITRE ATT&CK-Taktiken und -Techniken auf, die wir entdeckt haben.

Klicken Sie auf den Ausklapppfeil neben einer Taktik, um die Technik anzuzeigen.

Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel Zugriff auf Anmeldedaten im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.

Details zur MITRE-Taktik.

Letzte Aktivität

Letzte Aktivität zeigt die letzten Änderungen an dem Fall an. Klicken Sie auf Alle anzeigen, um zur Registerkarte Verlauf zu gelangen.

Registerkarte „Erkennungen“

Auf der Registerkarte Erkennungen werden alle im Fall enthaltenen Erkennungen aufgelistet. Es werden die gleichen Details wie die Liste auf der Seite Erkennungen angezeigt. Siehe Erkennungen.

Registerkarte „Erkennungen“.

Registerkarte „Notizen“

Wenn Sie an einem selbst verwalteten Fall arbeiten, verwenden Sie den Tab Notizen, um Ihre Analysen aufzuzeichnen.

Tab „Nachrichten“

Auf dem Tab Nachrichten werden auch Nachrichten des Sophos-MDR-Teams über den Fall angezeigt.

  • Von Ihnen gesendete Nachrichten werden im MDR-Posteingang zugestellt. Wir beantworten diese später.
  • Von Ihnen gesendete oder empfangene Nachrichten werden in die Posteingänge Ihrer autorisierten Kontakte kopiert, damit Sie keine Nachrichten verpassen.
  • Sie können Anhänge sowie Nachrichten senden und empfangen.

Registerkarte „Verlauf“

Die Registerkarte Verlauf zeigt den Verlauf aller Aktivitäten für diesen Fall an. Zum Beispiel hinzugefügte Erkennungen oder Änderungen des Status, des Eigentümers usw.

Problembehandlung zu Fällen

Fälle basieren auf Erkennungen, die in Daten gefunden werden, die Ihre Geräte in den Sophos Data Lake hochladen. Diese Uploads sind standardmäßig aktiviert. Wenn Sie keine Erkennungen erhalten, überprüfen Sie, ob diese aktiviert sind.

Um zu überprüfen, ob Daten von Sophos-Produkten hochgeladen wurden, siehe Data-Lake-Uploads. Informationen zu Daten von Drittanbieter-Produkten finden Sie unter Über MDR- und XDR-Integrationen.