Bedrohungsfälle

Unter Bedrohungsfälle können Sie Malware-Angriffe untersuchen und bereinigen.

Sie können herausfinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oder Dateien betroffen sind. Das hilft Ihnen, die Sicherheit zu verbessern.

Diese Funktion steht nur Kunden mit einer Intercept X- oder Intercept X Advanced with EDR-Lizenz zur Verfügung. Wenn Sie eine Intercept X Advanced with EDR oder Intercept X Advanced for Server with EDR-Lizenz haben, können Sie auch Folgendes:

  • Betroffene Geräte isolieren.
  • Nach weiteren Beispielen für die Bedrohung in Ihrem Netzwerk suchen.
  • Die Bedrohung bereinigen und blockieren.
  • Erhalten Sie weitere erweiterte Bedrohungsdaten.

Wir erstellen einen Bedrohungsfall für Sie, sobald wir Malware entdecken, die Sie weiter untersuchen müssen.

Anmerkung Diese Funktion ist derzeit nur für Windows-Geräten verfügbar.

Hinweise zum Untersuchen und Bereinigen von Bedrohungen

Dies ist ein Überblick, wie Sie normalerweise einen Fall untersuchen. Details zu allen Optionen finden Sie auf der Bedrohungsfall-Detailseite.

Einige Option sind nur verfügbar, wenn Sie eine Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server-Lizenz haben.

  1. Klicken Sie im Hauptmenü auf Bedrohungsfälle und dann auf einen Fall.

    Dies zeigt die Detailseite zum jeweiligen Fall an.

  2. Unter Übersicht können Sie sehen, wo der Angriff gestartet wurde und welche Dateien betroffen sein könnten.
  3. Sehen Sie sich Empfohlene nächste Schritte an. Sie können die Priorität des Falls ändern und feststellen, welche Prozesse untersucht werden sollen.

    Wenn es sich um einen Fall mit hoher Priorität handelt und Sie Intercept X Advanced with EDR verwenden, können Sie auf Dieses Gerät isolieren klicken. Das betroffene Gerät wird vom Netzwerk isoliert. Sie können das Gerät weiterhin von Sophos Central aus verwalten.

    Anmerkung Sie sehen diese Option nicht, wenn sich das Gerät automatisch isoliert hat.
  4. Auf der Registerkarte Analysieren wird ein Diagramm angezeigt, das den Fortschritt des Angriffs zeigt. Durch Klicken auf Elemente werden weitere Details angezeigt.
  5. Klicken Sie auf die Grundursache oder einen anderen Prozess, um die Details anzuzeigen.
  6. Um sicherzustellen, dass Sie über die neuesten Analysen von Sophos verfügen, klicken Sie auf Aktuellste Daten anfordern.

    Dadurch werden Dateien zur Analyse an Sophos gesendet. Wenn wir neue Informationen über die Reputation und Verbreitung der Datei haben, werden Sie sie in wenigen Minuten hier angezeigt.

    Einschränkung Wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced for Server with EDR verwenden, sehen Sie eine Analyse mit erweiterten Funktionen. Sie können auch weitere Erkennungen und Bereinigungen durchführen, wie in den folgenden Schritten gezeigt.
  7. Klicken Sie auf Nach Element suchen, um nach weiteren Vorkommen der Datei in Ihrem Netzwerk zu suchen.

    Wenn auf der Seite Ergebnisse der Elementsuche weitere Vorkommen der Datei angezeigt, können Sie dort auf Gerät isolieren klicken, um betroffene Geräte zu isolieren.

  8. Kehren Sie zur Detailseite für Bedrohungsfälle zurück und sehen Sie sich die neuesten Bedrohungsinformationen an.
  9. Wenn Sie sicher sind, dass die Datei schädlich ist, klicken Sie auf Entfernen und blockieren.

    Dadurch wird das Element auf den Geräten, auf denen es gefunden wurde, bereinigt und auf allen Geräten blockiert.

  10. Wenn Sie sicher sind, dass Sie mit der Bedrohung fertig geworden sind, können Sie das Gerät aus der Isolation entfernen (falls erforderlich). Gehen Sie zu Empfohlene nächste Schritte und klicken Sie auf Aus der Isolation entfernen.

    Wenn Sie mehrere Geräte isoliert haben, gehen Sie zu Einstellungen > Vom Administrator isolierte Geräte und entfernen Sie diese aus der Isolation.

  11. Gehen Sie zurück zur Entdeckte Bedrohungsfälle, wählen Sie den Fall aus und klicken Sie auf Schließen.

Die Liste der Bedrohungsfälle

Auf der Seite Entdeckte Bedrohungsfälle werden alle Bedrohungsfälle der letzten 90 Tage aufgelistet.

Wenn Sie eine MTR-Lizenz haben, ist die Seite in Tabs für Bedrohungsfälle unterteilt, die wie folgt angelegt wurden:

  • Automatisch von Sophos angelegt
  • Von einem Sophos Central Admin angelegt
  • Erstellt durch das Sophos Managed Threat Response (MTR)-Team (derzeit nicht verwendet)

Wenn Sie keine MTR-Lizenz haben, wird die Seite nicht in Tabs unterteilt.

Sie können die Fälle nach Gerät, Status, oder Priorität filtern.

Sie können die Suchen verwenden, um die Fälle für einen bestimmten Benutzer, ein bestimmtes Gerät oder einen Bedrohungsnamen anzuzeigen (z. B. "Troj/Agent-AJWL").

In der Liste werden für jeden Fall die meisten der folgenden Informationen angezeigt. Welche Spalten angezeigt werden, hängt davon ab, ob die Seite in Tabs aufgeteilt ist:

  • Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können diese ändern, wenn Sie den Fall aufrufen.
  • Erstellt um: Uhrzeit und Datum, wann der Fall angelegt wurde.
  • Priorität: Die Priorität wird festgelegt, wenn der Fall angelegt wird. Sie können diese ändern, wenn Sie den Fall aufrufen.
  • Name: Klicken Sie auf den Namen des Bedrohungsfall, um Details des Falls anzuzeigen.
  • Erstellt von: Der Sophos Central Admin, der den Fall angelegt hat.
  • Benutzer: Der Benutzers, der die Infektion verursacht hat. Klicken Sie auf den Namen des Benutzers, um Details anzuzeigen.
  • Gerät: Das Gerät, das die Infektion verursacht hat. Klicken Sie auf den Namen des Geräts, um Details anzuzeigen.
  • Gerätetyp: Der Typ des Geräts, zum Beispiel Computer oder Server.

Sie können auf eine beliebige Spalte klicken, um die Fälle zu sortieren.