Zum Inhalt

Umgang mit Ausbrüchen

Wir melden einen Ausbruch, wenn in 24 Stunden 100 Erkennungen auf einem Gerät auftreten.

Ein Ausbruch umfasst die Erkennung von PE-Dateien (Portable Executable). Diese Erkennungen stammen von Intercept X und Sicherheitsfunktionen wie der Überprüfung der Dateireputation. Im Verlauf des Ausbruchs werden weiterhin einige Erkennungs-Ereignisse für das Gerät gemeldet. Diese Erkennungen gelten in der Regel für Nicht-PE-Dateien, wie Dokumente und Skripte.

Sie müssen Ausbrüche untersuchen. Wenn Sie die Bedrohung (oder PUA) entfernt haben, müssen Sie die Warnmeldung als „behoben“ markieren.

Warnung

Wir zeigen einen Warnhinweis „Ausbruch erkannt“ an, bis Sie ihn als behoben markieren. Der Warnhinweis deaktiviert die Report-Erstellung zu Erkennungen für das Gerät. Sie müssen den Warnhinweis Ausbruch erkannt als „behoben“ markieren, um alle auf dem Gerät auftretenden Erkennungen anzuzeigen. Der Schutz wird dadurch nicht beeinträchtigt.

Ausbrüche untersuchen

Wir empfehlen, das Gerät während der Untersuchung aus dem Netzwerk zu entfernen.

Wenn Sie über Intercept X verfügen, können Sie den Warnhinweis Ausbruch erkannt mit Bedrohungsgraphen untersuchen. Siehe Bedrohungsgraphen.

Für Hinweise zum Umgang mit Bedrohungen siehe Hinweise zum Umgang mit Bedrohungen.

Wenn Sie der Meinung sind, dass es sich bei einer Erkennung um ein False Positive handelt, siehe Umgang mit False Positives.

Wenn Sie sich nicht sicher sind, wie Sie mit dem Ausbruch umgehen müssen, wenden Sie sich bitte an den Sophos Support.

Beheben von Warnhinweisen „Ausbruch erkannt“

Gehen Sie wie folgt vor, um einen Warnhinweis Ausbruch erkannt zu beheben:

  1. Gehen Sie zu Alarme.
  2. Wählen Sie den Warnhinweis Ausbruch erkannt aus.

    Der Warnhinweis wird als hoch eingestuft.

  3. Klicken Sie auf Als behoben markieren und anschließend auf OK.

    Diese Aktion löscht den Warnhinweis und aktiviert die Report-Erstellung zu Erkennungen für das Gerät.