Forensische Snapshots

Forensische Snapshots erfassen die letzten Aktivitäten auf einem Gerät.

Wenn wir eine Bedrohung erkennen, wird automatisch ein Snapshot auf dem Gerät erstellt und zur Generierung eines Bedrohungsgraph verwendet, der zeigt, wie sich ein Angriff entwickelt hat.

Sie können forensische Snapshots auch nach Bedarf erstellen und Ihre eigene Analyse durchführen.

Diese Seite beschreibt Folgendes:

• Forensischen Snapshot erzeugen
• Auf forensische Snapshots zugreifen
• Zeitraum für forensische Snapshots festlegen

Sie können auch Folgendes tun:

• Snapshots umwandeln, damit Sie sie analysieren können. Siehe Forensische Snapshots umwandeln.
• Snapshots in einen AWS-S3-Bucket hochladen. Siehe Forensischen Snapshot in einen AWS-S3-Bucket hochladen.

Forensischen Snapshot erstellen

Sie können einen forensischen Snapshot aus den Gerätedetails in Sophos Central oder aus einem Bedrohungsgraph erstellen.

Snapshot aus Gerätedetails erstellen

Gehen Sie wie folgt vor, um einen Snapshot aus den Gerätedetails zu erstellen:

1. Gehen Sie in Sophos Central zu Meine Produkte > Computer und Server.
2. Klicken Sie auf den Namen des Geräts, für das Sie einen Snapshot erstellen möchten.
3. Klicken Sie auf der Registerkarte Zusammenfassung auf der Detailseite des Geräts auf Weitere Aktionen und wählen Sie Forensischen Snapshot erstellen.
4. Klicken Sie unter Forensischen Snapshot erstellen auf Jetzt erstellen.

Standardmäßig wird ein Snapshot in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ erstellt.

Alternativ können Sie Snapshots in einen S3-Bucket hochladen. Siehe Forensischen Snapshot in einen AWS-S3-Bucket hochladen.

Sie müssen Ihren Snapshot in ein Format konvertieren, das Sie analysieren können. Siehe Forensische Snapshots umwandeln.

Snapshot aus einem Bedrohungsgraph erstellen

Gehen Sie wie folgt vor, um einen Snapshot aus einem Bedrohungsgraph zu erstellen:

1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Bedrohungsgraphen.
2. Wählen Sie eine erkannte Bedrohung aus, die mit dem Gerät verknüpft ist, für das Sie einen Snapshot erstellen möchten.
3. Klicken Sie im Bedrohungsgraph unter der Artefakttabelle auf Forensischen Snapshot erstellen.

Standardmäßig wird ein Snapshot in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ erstellt.

Alternativ können Sie Snapshots in einen S3-Bucket hochladen. Siehe Forensischen Snapshot in einen AWS-S3-Bucket hochladen.

Sie müssen Ihren Snapshot in ein Format konvertieren, das Sie analysieren können. Siehe Forensische Snapshots umwandeln.

Auf forensische Snapshots zugreifen

Sie können auf forensische Snapshots auf dem Gerät zugreifen.

Standardmäßig befinden sich erstellte Snapshots in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Snapshots, die wir automatisch basierend auf Erkennungen erstellen, befinden sich in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Zeitraum für Snapshots einstellen

Standardmäßig erfassen Snapshots die Daten der letzten beiden Wochen.

Sie können den Zeitraum wie folgt ändern oder alle verfügbaren Daten einbeziehen:

1. Gehen Sie in Sophos Central zu Allgemeine Einstellungen > Forensische Snapshots.
2. Wählen Sie unter Zeitraum für forensische Snapshots einstellen einen Zeitraum oder Alle Protokolldaten aus.

Snapshots in einen S3-Bucket hochladen

Sie können forensische Snapshots in einen AWS-S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.

Ausführliche Informationen zum Einrichten eines AWS-S3-Bucket, damit Sie Snapshots hochladen können, finden Sie unter Forensischen Snapshot in einen AWS-S3-Bucket hochladen.