Erkennungen
Erkennungen zeigen Ihnen Aktivitäten, die Sie möglicherweise untersuchen müssen.
Erkennungen identifizieren Aktivitäten auf Ihren Geräten, die ungewöhnlich oder verdächtig sind, aber nicht blockiert wurden. Sie unterscheiden sich von Ereignissen, bei denen wir Aktivitäten erkennen und blockieren, von denen wir bereits wissen, dass sie bösartig sind.
Wir generieren Erkennungen auf der Basis von Daten, die Geräte in den Sophos Data Lake hochladen. Wir gleichen die Daten mit Klassifizierungsregeln für Bedrohungen ab. Bei einer Übereinstimmung zeigen wir eine Erkennung an.
Auf dieser Seite erfahren Sie, wie Sie mithilfe von Erkennungen nach potenziellen Bedrohungen suchen können.
Hinweis
Fälle können verwandte Erkennungen automatisch gruppieren, um erweiterte Analyse-Funktionen zu erhalten. Siehe Fälle.
Erkennungen einrichten
Wenn Sie noch keine Erkennungen haben, müssen Sie zulassen, dass Geräte Daten in den Sophos Data Lake hochladen, damit wir sie verwenden können.
Sie können Daten von Sophos-Produkten und Produkten von Drittanbietern hochladen.
Informationen zu Uploads von Sophos-Produkten finden Sie unter Data-Lake-Uploads. Informationen zu Uploads von Drittanbieter-Produkten finden Sie unter Integrationen.
Sehen Sie sich Ihre Erkennungen an
Um Ihre Erkennungen anzuzeigen, gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.
Auf der Seite Erkennungen werden Erkennungsdaten als Balkendiagramm und als Liste angezeigt.
Zusammenfassung ansehen
Das Balkendiagramm zeigt eine Zusammenfassung der letzten Erkennungen auf einer Zeitachse. Standardmäßig zeigen wir die Erkennungen der letzten 24 Stunden an.
Schieberegler für den Zeitbereich verwenden
Mit dem Schieberegler können Sie sich auf kürzere oder längere Zeiträume konzentrieren. Klicken Sie einfach auf den Ziehpunkt an einem Ende des Schiebereglers und ziehen Sie ihn.
Sie können auch einen anderen Zeitbereich oder einen benutzerdefinierten Bereich festlegen, indem Sie das Menü über der Liste der Erkennungen verwenden.
Mauszeiger bewegen, um Statistiken anzuzeigen
Sie können auch eine Aufschlüsselung der Erkennungszahlen erhalten. Gehen Sie zu einem Balken im Diagramm, setzen Sie den Mauszeiger auf ein Band (zum Beispiel „Schweregrad: Hoch“) und bewegen Sie den Mauszeiger, um die Anzahl der Erkennungen mit diesem Schweregrad anzuzeigen.
Hinweis
Sie können auch auf ein Band im Balkendiagramm klicken, um nur die Erkennungen dieses Schweregrads in der Liste der Erkennungen anzuzeigen.
Erkennungsliste anzeigen
In der Erkennungsliste werden alle Erkennungen mit folgenden Details angezeigt:
- Schweregrad. Das Risikoniveau, das die Erkennung darstellt.
- Typ. Der Erkennungstyp. Derzeit werden die Typen „Bedrohung“ oder „Schwachstelle“ angezeigt.
- Erkennung. Name der Erkennung.
- Zeit. Zeitpunkt der Erkennung.
- Einheit. Das Gerät. Später werden wir diese Spalte auch verwenden, um die IP-Adresse oder den Benutzer anzuzeigen.
- Kategorie. Der Quelltyp. Endpoint, Netzwerk, Firewall, Email, Cloud oder ID-Provider.
- Quelle. Die Quelle der Erkennung. Die Quelle kann Sophos oder Software von Drittanbietern sein.
- MITRE ATT&CK. Die entsprechende MITRE ATT&CK-Taktik und -Technik.
Zeitbereich ändern
Sie können den Zeitbereich der Erkennungen ändern, der in der Liste der Erkennungen und im Balkendiagramm angezeigt wird.
Wählen Sie im Dropdown-Menü über der Liste einen der häufig verwendeten Zeitbereiche aus, oder klicken Sie auf Absoluter Zeitraum und legen Sie einen benutzerdefinierten Bereich fest.
Gruppen-Erkennungen
Sie können Erkennungen nach der Regel gruppieren, die sie zugeordnet haben.
-
Wählen Sie im Dropdown-Menü Gruppieren nach die Option Detection-ID aus.
-
Die Erkennungen der gleichen Ereignisse werden gruppiert und in einer Zeile in der Liste angezeigt
Erkennungen filtern
Sie können Erkennungen nach Schweregrad, Bedrohungstyp, verwendeter MITRE ATT&CK-Taktik und anderen Merkmalen filtern.
-
Klicken Sie in der Liste Erkennungen auf Filter anzeigen.
-
Klicken Sie auf eine Filterkategorie, um die Eigenschaften anzuzeigen, die Sie als Filter verwenden können. Klicken Sie zum Beispiel auf Typ und wählen Sie Bedrohung oder Schwachstelle aus.
-
Klicken Sie auf weitere Kategorien und wählen Sie die gewünschten Filter aus.
- Klicken Sie auf Anwenden.
Für einige Kategorien, wie Benutzername oder Gerätename, geben Sie Ihre eigenen Begriffe ein, die für die Filterung verwendet werden sollen.
Für Kategorien mit vielen Merkmalen, die Sie auswählen können, z. B. MITRE ATT&CK-Taktik, können Sie auf Alle auswählen klicken.
Um alle Filter zu löschen, klicken Sie auf Auf Standardwerte zurücksetzen.
Sie können Filter sowohl auf gruppierte als auch auf nicht gruppierte Erkennungen anwenden.
Erkennungen sortieren
Sie können die Liste der Erkennungen sortieren.
Klicken Sie auf die Sortierpfeile neben einer Spaltenüberschrift, um die Liste nach aufsteigender oder absteigender alphabetischer, numerischer oder Datumsreihenfolge oder nach Priorität für die Spalte Schweregrad zu sortieren.
Sie können sowohl gruppierte als auch nicht gruppierte Erkennungen sortieren.
Erkennungen öffnen und freigeben
-
Klicken Sie in der Tabelle auf die drei Punkte neben dem Namen der Erkennung .
-
Klicken Sie auf In neuem Tab öffnen , um Details zur Erkennung zu öffnen oder auf den Link Kopieren, wenn Sie die Details mit Kollegen teilen möchten.
Details zur Erkennung anzeigen
Klicken Sie auf eine beliebige Stelle in der Zeile in der Tabelle, um alle Details einer Erkennung anzuzeigen, z. B. Gerät, Benutzer und beteiligte Prozesse.
Ein neuer Fensterbereich wird rechts auf dem Bildschirm angezeigt.
In diesem Detailfenster können Sie schnell Erkennungen überprüfen, mehrere Erkennungen in neuen Registerkarten öffnen, Pivot-Abfragen verwenden, MITRE ATT&CK-Details abrufen und ähnliche Erkennungen finden.
Wenn Sie die vollständigen Daten sehen möchten, auf denen die Details basieren, klicken Sie auf die Registerkarte Rohdaten.
Erkennungen schnell überprüfen
Sie müssen nicht zwischen den Ansichten wechseln, um die Details mehrerer Erkennungen zu überprüfen.
Klicken Sie in der Haupttabelle auf eine Erkennung, um sie anzuzeigen. Klicken Sie anschließend in der Tabelle auf eine andere Erkennung. Die angezeigten Details ändern sich automatisch zu den Details dieser Erkennung.
Mehrere Erkennungen öffnen
Sie können mehrere Erkennungen in neuen Registerkarten öffnen, damit Sie sie geöffnet halten und leicht vergleichen können.
Klicken Sie im Slideout-Menü „Erkennungsdetails“ auf die Schaltfläche „Erweitern“ um die Erkennungsdetails in einer neuen Registerkarte zu öffnen.
Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen
Sie können mehr über Erkennungen erfahren, indem Sie Pivot-Abfragen verwenden.
Mit einer Pivot-Abfrage können Sie einen wesentlichen Bestandteil der Daten einer Erkennung auswählen und diesen als Grundlage für die weitere Analyse verwenden.
Im Slideout-Menü „Erkennungsdetails“ sehen Sie drei Punkte neben einigen Elementen.
Klicken Sie auf das Symbol, um die verfügbaren Aktionen zu sehen. Diese hängen von der Art der Daten ab.
- Abfragen. Sie können eine Abfrage basierend auf den ausgewählten Daten ausführen. Live-Discover-Abfragen betrachten Daten auf Ihren Geräten (wenn diese online sind). Data-Lake-Abfragen betrachten die Daten, die Geräte in den Sophos Data Lake hochladen.
- Anreicherungen. Diese eröffnen verschiedene Quellen von Bedrohungsinformationen (wie VirusTotal), die Sie bei der Untersuchung einer potenziellen Bedrohung unterstützen. Sie können auch SophosLabs Intelix-Berichte öffnen, sofern diese verfügbar sind. Siehe Intelix-Berichte.
- Aktionen. Bieten weitere Erkennung oder Bereinigung. Zum Beispiel können Sie ein Gerät scannen oder Sophos Live Response starten, um auf ein Gerät zuzugreifen und es zu untersuchen.
Wenn Sie im gezeigten Beispiel auf das Symbol neben der Sophos-Prozess-ID klicken, können Sie Abfragen basierend auf dieser ID ausführen.
MITRE ATT&CK-Details abrufen
Bei vielen Erkennungen wird im Detailbereich der Erkennung die MITRE ATT&CK-Taktik angezeigt.
Klicken Sie auf den Ausklapppfeil neben der Taktik, um die Technik anzuzeigen.
Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel TA0002 Execution
im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.
Ähnliche Erkennungen suchen
Klicken Sie im Schieberegler Erkennungsdetails auf Ähnliche Erkennungen. Die ähnlichen Erkennungen werden dann in der Haupttabelle angezeigt.
Hinzufügen von Erkennungen zu einem Fall
Fälle gruppieren verdächtige Ereignisse unter Erkennungen und unterstützen Sie bei der Durchführung forensischer Arbeiten. Siehe Fälle.
Auf der Seite Erkennungen können Sie einem vorhandenen Fall eine Erkennung hinzufügen oder einen neuen Fall erstellen.
Zu einem Fall hinzufügen
-
Wählen Sie die gewünschten Erkennungen aus der Erkennungsliste aus.
-
Klicken Sie auf Aktionen > Zu Fall hinzufügen.
-
Klicken Sie auf einen Fall und anschließend auf Zu Fall hinzufügen.
Der Name des Falls wird in der Spalte Fälle für diese Erkennung und am unteren Rand des Detailfensters angezeigt.
Die Erkennung ist in den Details des Falls auf der Seite Fälle enthalten.
Fall erstellen
Gehen Sie wie folgt vor, um einen neuen Fall zu erstellen und diesem Erkennungen hinzuzufügen:
-
Wählen Sie in der Liste Erkennungen die zu untersuchenden Erkennungen aus.
-
Klicken Sie Auf Aktionen > Fall erstellen.
-
Verfahren Sie unter Fall erstellen wie folgt:
- Geben Sie einen Namen und eine Beschreibung für den Fall ein.
- Wählen Sie den Schweregrad aus.
- Wählen Sie den Status (Neu oder Analyse).
- Wählen Sie einen Bearbeiter aus. Dies ist der Administrator, der den Fall untersucht.
- Klicken Sie auf Erstellen.
Ein Fall wird der Seite Fälle hinzugefügt.
Der Name des Falls wird auch in der Spalte Fälle für diese Erkennung und am unteren Rand des Detailfensters angezeigt.
Suchen nach potenziellen Bedrohungen
Anhand von Erkennungen können Sie Geräte, Prozesse, Benutzer und Ereignisse auf Anzeichen von potenziellen Bedrohungen untersuchen, die andere Sophos-Funktionen nicht blockiert haben. Beispiel:
- Ungewöhnliche Befehle, die darauf hinweisen, dass versucht wird, Ihre Systeme zu inspizieren und auf ihnen zu bleiben, Sicherheit zu umgehen oder Anmeldeinformationen zu stehlen.
- Sophos-Malware-Warnungen, z. B. dynamische Shellcode-Prevention-Ereignisse, die darauf hinweisen, dass ein Angreifer möglicherweise ein Gerät infiltriert hat.
- Runtime-Erkennungen von Linux, wie z. B. Container Escapes, die darauf hinweisen, dass ein Angreifer Berechtigungen vom Containerzugriff eskaliert, um zum Container-Host zu wechseln.
Die meisten Erkennungen sind mit dem MITRE ATT&CK-Framework verknüpft, wo Sie weitere Informationen über die spezifische Taktik und Technik finden können. Siehe https://attack.mitre.org/.
Sie können auch nach Anzeichen einer vermuteten oder bekannten Bedrohung, die Sophos anderswo gefunden hat, oder nach veralteter Software oder unsicheren Browsern suchen.
Hilfe erhalten
Der Sophos Support kann Ihnen nicht helfen, Erkennungen zu untersuchen.
Wenn Sie den MDR-Service (Managed Detection and Response) erwerben, überwachen unsere Analysten Ihre Umgebung auf schädliche Aktivitäten und kontaktieren Sie oder reagieren für Sie rund um die Uhr auf Bedrohungen. Siehe Managed Detection and Response.
Hinweis
Wenn Sie der Meinung sind, dass Ihre Sicherheit kompromittiert wurde und Sie Soforthilfe benötigen, wenden Sie sich an unser „Rapid Response“-Team. Der Service ist kostenpflichtig. Siehe Sophos Rapid Response.