Bedrohungsgraphen

Mit Bedrohungsgraphen können Sie Malware-Angriffe untersuchen und bereinigen.

Sie können herausfinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oder Dateien betroffen sind. Das hilft Ihnen, die Sicherheit zu verbessern.

Diese Funktion steht nur Kunden mit einer Intercept X- oder Intercept X Advanced with XDR-Lizenz zur Verfügung. Wenn Sie eine Intercept X Advanced with XDR oder Intercept X Advanced for Server with XDR-Lizenz haben, können Sie auch Folgendes:

  • Betroffene Geräte isolieren.
  • Nach weiteren Beispielen für die Bedrohung in Ihrem Netzwerk suchen.
  • Die Bedrohung bereinigen und blockieren.
  • Erhalten Sie weitere erweiterte Bedrohungsdaten.

Wir erstellen einen Bedrohungsgraphen für Sie, sobald wir Malware entdecken, die Sie weiter untersuchen müssen.

Anmerkung Diese Funktion ist derzeit nur für Windows-Geräten verfügbar.

Hinweise zum Untersuchen und Bereinigen von Bedrohungen

Dies ist ein Überblick, wie Sie normalerweise einen Graphen untersuchen. Details zu allen Optionen finden Sie unter Analyse des Bedrohungsgraphen.

Einige Option sind nur verfügbar, wenn Sie eine Intercept X Advanced with XDR oder Intercept X Advanced with XDR for Server-Lizenz haben.

  1. Gehen Sie zu Übersicht > Bedrohungsanalyse-Center, klicken Sie auf Bedrohungsgraphen und klicken Sie dann auf einen Graphen.

    Dies zeigt die Detailseite zum jeweiligen Graphen an.

  2. Unter Zusammenfassung können Sie sehen, wo der Angriff gestartet wurde und welche Dateien betroffen sein könnten.
  3. Sehen Sie sich Empfohlene nächste Schritte an. Sie können die Priorität des Graphen ändern und feststellen, welche Prozesse untersucht werden sollen.

    Wenn es sich um einen Graphen mit hoher Priorität handelt und Sie Intercept X Advanced with XDR verwenden, können Sie auf Dieses Gerät isolieren klicken. Das betroffene Gerät wird vom Netzwerk isoliert. Sie können das Gerät weiterhin von Sophos Central aus verwalten.

    Anmerkung Sie sehen diese Option nicht, wenn sich das Gerät automatisch isoliert hat.
  4. Auf der Registerkarte Analysieren wird ein Diagramm angezeigt, das den Fortschritt des Angriffs zeigt. Durch Klicken auf Elemente werden weitere Details angezeigt.
  5. Klicken Sie auf die Grundursache oder einen anderen Prozess, um die Details anzuzeigen.
  6. Um sicherzustellen, dass Sie über die neuesten Analysen von Sophos verfügen, klicken Sie auf Aktuellste Daten anfordern.

    Dadurch werden Dateien zur Analyse an Sophos gesendet. Wenn wir neue Informationen über die Reputation und Verbreitung der Datei haben, werden Sie sie in wenigen Minuten hier angezeigt.

    Einschränkung Wenn Sie Intercept X Advanced with XDR oder Intercept X Advanced for Server with XDR verwenden, sehen Sie eine Analyse mit erweiterten Funktionen. Sie können auch weitere Erkennungen und Bereinigungen durchführen, wie in den folgenden Schritten gezeigt.
  7. Klicken Sie auf Nach Element suchen, um nach weiteren Vorkommen der Datei in Ihrem Netzwerk zu suchen.

    Wenn auf der Seite Ergebnisse der Elementsuche weitere Vorkommen der Datei angezeigt, können Sie dort auf Gerät isolieren klicken, um betroffene Geräte zu isolieren.

  8. Kehren Sie zur Detailseite für Bedrohungsgraphen zurück und sehen Sie sich die neuesten Bedrohungsinformationen an.
  9. Wenn Sie sicher sind, dass die Datei schädlich ist, klicken Sie auf Entfernen und blockieren.

    Dadurch wird das Element auf den Geräten, auf denen es gefunden wurde, bereinigt und auf allen Geräten blockiert.

  10. Wenn Sie sicher sind, dass Sie mit der Bedrohung fertig geworden sind, können Sie das Gerät aus der Isolation entfernen (falls erforderlich). Gehen Sie zu Empfohlene nächste Schritte und klicken Sie auf Aus der Isolation entfernen.

    Wenn Sie mehrere Geräte isoliert haben, gehen Sie zu Einstellungen > Vom Administrator isolierte Geräte und entfernen Sie diese aus der Isolation. Siehe Vom Administrator isolierte Geräte.

  11. Gehen Sie zurück zur Liste Graphen für erkannte Bedrohungen, wählen Sie den Graphen aus und klicken Sie auf Schließen.

Die Liste der Bedrohungsgraphen

In Bedrohungsgraphen werden alle Bedrohungsgraphen der letzten 90 Tage aufgelistet.

Wenn Sie eine MTR-Lizenz haben, ist die Seite in Tabs für Bedrohungsgraphen unterteilt, die wie folgt angelegt wurden:

  • Automatisch von Sophos angelegt
  • Von einem Sophos Central Admin angelegt
  • Erstellt durch das Sophos Managed Threat Response (MTR)-Team (derzeit nicht verwendet)

Wenn Sie keine MTR-Lizenz haben, wird die Seite nicht in Tabs unterteilt.

Sie können die Graphen nach Gerät, Status oder Priorität filtern.

Sie können die Suchen verwenden, um die Graphen für einen bestimmten Benutzer, ein bestimmtes Gerät oder einen Bedrohungsnamen (z. B. „Troj/Agent-AJWL“) anzuzeigen.

In der Liste werden für jeden Graphen die meisten der folgenden Informationen angezeigt. Welche Spalten angezeigt werden, hängt davon ab, ob die Seite in Tabs aufgeteilt ist:

  • Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können diese ändern, wenn Sie den Graphen aufrufen.
  • Erstellt um: Uhrzeit und Datum, wann der Graph angelegt wurde.
  • Priorität: Die Priorität wird festgelegt, wenn der Graph angelegt wird. Sie können diese ändern, wenn Sie den Graphen aufrufen.
  • Name: Klicken Sie auf den Namen der Bedrohung, um Details des Graphen anzuzeigen.
  • Erstellt von: Der Sophos Central-Admin, der den Bedrohungsgraphen angelegt hat.
  • Prozessbesitzer: Der Prozesseigentümer, der die Infektion verursacht hat.
  • MITRE-Taktik: Die MITRE-Taktik, die die Infektion verursacht hat.
  • Gerätetyp: Der Typ des Geräts, zum Beispiel Computer oder Server.

Sie können auf eine beliebige Spalte klicken, um die Graphen zu sortieren.