Aktive Threat Response
Aktive Threat Response (ATR) bietet API-ausgelöste Reaktionen, um schädliche Hosts automatisch im Netzwerk zu isolieren. Dadurch werden Bedrohungsinformationen von Sophos MDR, Sophos XDR, Sophos NDR und Lösungen von Drittanbietern auf die Zugriffsebene erweitert und laterale Bewegungen über jeden kabelgebundenen, drahtlosen, verwalteten oder nicht verwalteten Host schnell verhindert.
Sophos Switches, die bei Sophos Central mit einer gültigen Support- und Servicelizenz registriert sind, können auf ATR zugreifen. Die ATR-API erfasst Bedrohungsdaten, sodass MDR-Analysten und Netzwerkadministratoren schädliche Hosts schnell im Netzwerk isolieren können.
MDR/XDR-Bedrohungs-Feed
Im Feed für MDR/XDR-Bedrohungen werden die isolierten Hosts aller in Sophos Central verwalteten Sophos Switches und AP6-Access Points aufgelistet.
Sie können auf das Optionsfeld neben AP6 klicken, um ATR für AP6-Access Points ein- oder auszuschalten.
Hinweis
Wenn Sie ATR für AP6-Access Points aktivieren, wird die MAC-Filterung außer Kraft gesetzt, die auf den SSIDs dieser Access Points konfiguriert ist.
Sie können auf das Optionsfeld neben Switch klicken, um ATR für Sophos Switches ein- oder auszuschalten.
Isolierte Geräte
Sie können Informationen zu den Geräten anzeigen, die mit Ihren Switches verbunden sind.
In der Spalte MAC-Adresse werden die MAC-Adressen von Geräten aufgeführt.
Die Spalten Switch und AP6 zeigen den Status von Geräten wie folgt an:
- Ein grünes Häkchen zeigt an, dass ein Gerät isoliert ist.
- Ein Bindestrich gibt an, dass ein Gerät nicht isoliert ist.
Aktive Threat Response API
Die ATR-APIs sind auf Sophos Central verfügbar. Die APIs ermöglichen Integrationen und Workflows von Drittanbietern, um schädliche Aktivitäten auf der Netzwerkzugriffsebene schnell zu isolieren. Informationen zum Zugriff auf und zur Verwendung der ATR-APIs von Sophos Central finden Sie unter den folgenden Links: