Erkennungen

Erkennungen zeigen Ihnen Aktivitäten, die Sie möglicherweise untersuchen müssen.

Um Erkennungen anzuzeigen, gehen Sie zu Übersicht > Bedrohungsanalyse-Center > Erkennungen.

Erkennungen identifizieren Aktivitäten auf Ihren Geräten, die ungewöhnlich oder verdächtig sind, aber nicht blockiert wurden. Sie unterscheiden sich von Ereignissen, bei denen wir Aktivitäten erkennen und blockieren, von denen wir wissen, dass sie bösartig sind.

Erkennungen basieren auf Daten, die Geräte in den Sophos Data Lake hochladen. Anweisungen zur Einrichtung von Uploads finden Sie unter Data-Lake-Uploads.

Wir gleichen die Daten mit Klassifizierungsregeln für Bedrohungen ab. Bei einer Übereinstimmung zeigen wir eine Erkennung an.

Wir geben den Erkennungen einen Risikowert von 1 (niedrigster Wert) bis 10 (höchster Wert). Die Punktzahl zeigt, wie sicher wir sind, dass sich die Erkennung auf böswillige Aktivitäten bezieht.

Bedeutung der Erkennungs-Details

Wir gruppieren Erkennungen nach der Regel, die ihnen entspricht, und dem Datum. Die Erkennungs-Details zeigen Folgendes:

  • Risiko. Das Risiko liegt auf einer Skala von 1 (am niedrigsten) bis 10 (am höchsten). Ein Wert von 0 bedeutet, dass die Risikostufe nicht definiert wurde. Bei den Standardeinstellungen zeigen wir nur Erkennungen mit einem Risikowert von 7 oder mehr an. Anhand der Risikostufen können Sie Ihre Analysen priorisieren.
  • Klassifizierungsregel. Der Name der übereinstimmenden Regel.
  • Anzahl. Anzahl der Übereinstimmungen mit der Klassifizierungsregel an einem bestimmten Tag.
  • Geräteliste. Das Gerät, auf dem die Regel zuletzt abgeglichen wurde, und die Anzahl der anderen Geräte mit derselben Erkennung an diesem Tag.
  • Zuerst/zuletzt gesehen. Die erste und letzte Erkennung basierend auf der Klassifizierungsregel an diesem Tag.
  • Beschreibung. Was die Regel identifiziert.
  • Mitre ATT&CK. Die entsprechende Mitre ATT&CK-Taktik und -Technik.

So verwenden Sie Erkennungen

Anhand von Erkennungen können Sie Geräte, Prozesse, Benutzer und Ereignisse auf Anzeichen von potenziellen Bedrohungen untersuchen, die andere Sophos-Funktionen nicht blockiert haben. Ein Beispiel:

  • Ungewöhnliche Befehle, die darauf hinweisen, dass versucht wird, Ihre Systeme zu inspizieren und auf ihnen zu bleiben, Sicherheit zu umgehen oder Anmeldeinformationen zu stehlen.
  • Sophos-Malware-Warnungen, z. B. dynamische Shellcode-Prevention-Ereignisse, die darauf hinweisen, dass ein Angreifer möglicherweise ein Gerät infiltriert hat.

Die meisten Erkennungen sind mit dem MITRE ATT&CK-Framework verknüpft, wo Sie weitere Informationen über die spezifische Taktik und Technik finden können. Siehe https://attack.mitre.org/

Sie können auch zusätzliche Maßnahmen auf der Grundlage der Erkennung ergreifen. Ein Beispiel:

  • Durchsuchen Sie Geräte auch nach Anzeichen einer vermuteten oder bekannten Bedrohung, wenn Sophos Central die Bedrohung an anderer Stelle gefunden hat oder wenn ein Benutzer verdächtiges Verhalten meldet.
  • Suchen Sie nach veralteter Software oder Browsern mit unsicheren Einstellungen.

Wie Sie Hilfe erhalten

Wir bieten einen „Managed Threat Response“-Service an, der Ihre Umgebung rund um die Uhr auf böswillige Aktivitäten überwacht und in Ihrem Namen Maßnahmen ergreift.

Siehe https://www.sophos.com/de-de/products/managed-threat-response.aspx.

Anmerkung Wenn Sie der Meinung sind, dass Ihre Sicherheit kompromittiert wurde und Sie Soforthilfe benötigen, wenden Sie sich an unser „Rapid Response“-Team. Der Service ist kostenpflichtig.

Siehe https://www.sophos.com/de-de/products/managed-threat-response/rapid-response.aspx.