Bedrohungsfälle

Unter Bedrohungsfälle können Sie Malware-Angriffe untersuchen und bereinigen.

Sie können herausfinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oder Dateien betroffen sind. Das hilft Ihnen, die Sicherheit zu verbessern.

Wenn Sie eine Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server Lizenz haben, können Sie auch Folgendes:

  • Betroffene Geräte isolieren.
  • Nach weiteren Beispielen für die Bedrohung in Ihrem Netzwerk suchen.
  • Die Bedrohung bereinigen und blockieren.

Wir erstellen einen Bedrohungsfall für Sie, sobald wir Malware entdecken, die Sie weiter untersuchen müssen.

Hinweis: Diese Funktion ist derzeit nur für Windows-Geräten verfügbar.

Hinweise zum Untersuchen und Bereinigen von Bedrohungen

Dies ist ein Überblick, wie Sie normalerweise einen Fall untersuchen. Details zu allen Optionen finden Sie auf der Bedrohungsfall-Detailseite.

Einige Option sind nur verfügbar, wenn Sie eine Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server-Lizenz haben.

  1. Klicken Sie im Hauptmenü auf Bedrohungsfälle und dann auf einen Fall.

    Dies zeigt die Detailseite zum jeweiligen Fall an.

  2. Unter Übersicht können Sie sehen, wo der Angriff gestartet wurde und welche Dateien betroffen sein könnten.
  3. Sehen Sie sich Empfohlene nächste Schritte an. Sie können die Priorität des Falls ändern und feststellen, welche Prozesse untersucht werden sollen.

    Wenn es sich um einen Fall mit hoher Priorität handelt und Sie Intercept X Advanced with EDR verwenden, können Sie auf Dieses Gerät isolieren klicken. Das betroffene Gerät wird vom Netzwerk isoliert. Sie können das Gerät weiterhin von Sophos Central aus verwalten.

    Hinweis: Sie sehen diese Option nicht, wenn sich das Gerät automatisch isoliert hat.
  4. Auf der Registerkarte Analysieren wird ein Diagramm angezeigt, das den Fortschritt des Angriffs zeigt. Durch Klicken auf Elemente werden weitere Details angezeigt.
  5. Klicken Sie auf die Grundursache oder einen anderen Prozess, um die Details anzuzeigen.
  6. Um sicherzustellen, dass Sie über die neuesten Analysen von Sophos verfügen, klicken Sie auf Aktuellste Daten anfordern.

    Dadurch werden Dateien zur Analyse an Sophos gesendet. Wenn wir neue Informationen über die Reputation und Verbreitung der Datei haben, werden Sie sie in wenigen Minuten hier angezeigt.

    Einschränkung: Wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server verwenden, sehen Sie eine Analyse mit erweiterten Funktionen, siehe Aktuelle Bedrohungsdaten. Sie können auch weitere Erkennungen und Bereinigungen durchführen, wie in den folgenden Schritten gezeigt.
  7. Klicken Sie auf Nach Element suchen, um nach weiteren Vorkommen der Datei in Ihrem Netzwerk zu suchen.

    Wenn auf der Seite Ergebnisse der Elementsuche weitere Vorkommen der Datei angezeigt, können Sie dort auf Gerät isolieren klicken, um betroffene Geräte zu isolieren.

  8. Kehren Sie zur Detailseite für Bedrohungsfälle zurück und sehen Sie sich die neuesten Bedrohungsinformationen an.
  9. Wenn Sie sicher sind, dass die Datei schädlich ist, klicken Sie auf Entfernen und blockieren.

    Dadurch wird das Element auf den Geräten, auf denen es gefunden wurde, bereinigt und auf allen Geräten blockiert.

  10. Wenn Sie sicher sind, dass Sie mit der Bedrohung fertig geworden sind, können Sie das Gerät aus der Isolation entfernen (falls erforderlich). Gehen Sie zu Empfohlene nächste Schritte und klicken Sie auf Aus der Isolation entfernen.

    Wenn Sie mehrere Geräte isoliert haben, gehen Sie zu Einstellungen > Vom Administrator isolierte Geräte und entfernen Sie diese aus der Isolation.

  11. Gehen Sie zurück zur Entdeckte Bedrohungsfälle, wählen Sie den Fall aus und klicken Sie auf Schließen.

Die Liste der Bedrohungsfälle

Auf der Seite Entdeckte Bedrohungsfälle werden alle Bedrohungsfälle der letzten 90 Tage aufgelistet.

Diese ist in Tabs für Bedrohungsfälle unterteilt, die wie folgt angelegt wurden:

  • Automatisch von Sophos angelegt
  • Von einem Sophos Central Admin angelegt
  • Vom Sophos Managed Threat Response (MTR)-Team angelegt, wenn Sie eine MTR-Lizenz besitzen (zurzeit ungenutzt).

Sie können die Fälle nach Status oder Priorität filtern.

Sie können die Suchen verwenden, um die Fälle für einen bestimmten Benutzer, ein bestimmtes Gerät oder einen Bedrohungsnamen anzuzeigen (z. B. "Troj/Agent-AJWL").

Für jeden Fall wird in der Liste Folgendes angezeigt:

  • Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können diese ändern, wenn Sie den Fall aufrufen.
  • Erstellt um: Uhrzeit und Datum, wann der Fall angelegt wurde.
  • Priorität: Die Priorität wird festgelegt, wenn der Fall angelegt wird. Sie können diese ändern, wenn Sie den Fall aufrufen.
  • Name: Klicken Sie auf den Namen des Bedrohungsfall, um Details des Falls anzuzeigen.
  • Erstellt von: Der Sophos Central Admin, der den Fall angelegt hat.
  • Benutzer: Der Benutzers, der die Infektion verursacht hat. Klicken Sie auf den Namen des Benutzers, um Details anzuzeigen.
  • Gerät: Das Gerät, das die Infektion verursacht hat. Klicken Sie auf den Namen des Geräts, um Details anzuzeigen.
  • Gerätetyp: Der Typ des Geräts, zum Beispiel Computer oder Server.

Sie können auf eine beliebige Spalte klicken, um die Fälle zu sortieren.