Ergebnis der Suche nach Bedrohungen

Wenn Sie eine Suche nach Bedrohungen ausführen, wird eine Liste der Geräte angezeigt, auf denen verdächtige Dateien oder Bedrohungen erkannt wurden.

Die Suche nach Bedrohungen ist nur verfügbar, wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server verwenden.

Klicken Sie neben einem Gerät Details anzeigen. Eine Seite öffnet sich, auf der Sie die Historie jedes Elements einsehen können.

Auf der Detailseite können Sie zudem folgende Maßnahmen durchführen (abhängig vom erkannten Element):

  • Das Gerät isolieren.
  • Anwendungen bereinigen und blockieren.
  • Einen neuen Bedrohungsfall erstellen (falls erforderlich) oder einen bestehenden Fall ansehen.

Wenn Sie mehrere Geräte betroffen sind, können Sie diese auf der Hauptseite auf einmal isolieren.

Letzter Status

Die Spalte Letzter Status zeigt diese Ereignisse für verdächtige Dateien:

Erkannt: Die Suche hat die Datei entdeckt, aber keine Bedrohung darin erkannt.

Erkannt: Die Suche hat eine Bedrohung in der Datei erkannt.

Hinzugefügt: Die Datei wurde auf dem Gerät hinzugefügt.

Ausgeführt: Die Datei wurde ausgeführt.

Reputation aktualisiert: Sophos hat die Reputationsstufe der Datei aktualisiert oder ein Sophos Central Admin hat die Datei erlaubt oder blockiert (wodurch die „lokale“ Reputation aktualisiert wird).

Pfad aktualisiert: Die Datei wurde verschoben.

Entfernt: Die Datei wurde vom Gerät entfernt.

Anmerkung Für Netzwerkverbindungen und Administrationsprogramme werden verschiedene Details angezeigt.

Das Gerät isolieren

Um das Gerät zu isolieren, wählen Sie es aus und klicken Sie auf Isolieren.

Sie können isolierten Geräten erlauben eingeschränkt mit anderen Computern zu kommunizieren. Sie können dies in den Endpoint- und Server- Threat Protection-Richtlinien tun.

Entfernen und blockieren

So überprüfen, bereinigen und blockieren Sie eine Bedrohung:

  1. Klicken Sie auf Details anzeigen.
  2. Prüfen Sie die Details der Bedrohung.

    So gehen Sie mit einer verdächtigen Anwendung um:

    1. Wenn das Gerät noch nicht isoliert ist, klicken Sie auf Isolieren.
    2. Um eine Anwendung zu bereinigen und zu blockieren, klicken Sie auf Maßnahmen > Entfernen und blockieren.

      Dadurch wird die verdächtige Anwendung auf den Geräten, auf denen sie gefunden wurde, bereinigt und auf allen weiteren Geräten blockiert.

      Sie können Anwendungen auch bereinigen und blockieren, indem Sie sie der Liste Blockierte Elemente hinzufügen.

Sie können Geräte aus der Isolation entfernen, nachdem Sie sie untersucht und Maßnahmen ergriffen haben.