Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=mdr-ops-actions

Das kann das MDR Operations Team tun

Auf dieser Seite wird beschrieben, welche Maßnahmen unser MDR Operations Team ergreifen kann, wenn Sie ihm erlauben, in Ihrem Auftrag auf Bedrohungen zu reagieren.

Wir ergreifen nur Maßnahmen, wenn es notwendig ist. Wenn Sie bei der Einrichtung von MDR allerdings die Threat Response Autorisieren auswählen, wird unser Team auf aktive Bedrohungen reagieren, ohne zuerst Ihre Kontakte zu konsultieren.

Wenn Sie es vorziehen, dass das MDR Operations Team erst nach Rücksprache handelt, wählen Sie stattdessen die Threat Response Zusammenarbeiten aus. Anweisungen hierzu finden Sie unter Bedrohungsreaktion festlegen.

Weitere Informationen zu den verschiedenen Threat Response-Einstellungen finden Sie unter None.

Aktionen mit Live Response

Das MDR-Ops-Team kann Live Response verwenden, um eine Verbindung zu Geräten herzustellen und Maßnahmen zu ergreifen. Sie müssen Live Response aktiviert haben, um uns dies zu erlauben. Siehe Einrichten und Starten von Live Response.

Hier sind einige Maßnahmen, die das Team ergreifen kann:

  • Benutzer deaktivieren
  • Benutzer löschen
  • Sitzungen beenden
  • Schädliche Prozesse stoppen
  • Dateien löschen
  • Ordner durchsuchen
  • Geplante Aufgaben entfernen
  • Prozesse entfernen

Aktionen mit Sophos Central

Über „Allgemeine Einstellungen“ in Sophos Central kann das Team Folgendes tun:

  • Geräte isolieren
  • Anwendungen blockieren
  • IP-Adressen blockieren

Aktionen mit Microsoft 365

Das MDR Operations Team kann Microsoft 365 Response Actions verwenden, wenn Sie diese Integration eingerichtet haben.

Das Team kann wie folgt vorgehen:

  • Anmeldung von Benutzern blockieren oder aktivieren. Dies hilft, unbefugten Zugriff zu stoppen.
  • Alle aktuellen Sitzungen trennen oder widerrufen. Dies hilft dabei, kompromittierte Konten zu isolieren.
  • Posteingangsregeln für Benutzer deaktivieren. Dies hilft, die böswillige Weiterleitung vertraulicher E-Mails, Sicherheitsumgehung, Löschung von Beweisen u. v. m. zu verhindern.

Zur Einrichtung von Microsoft 365 Response Actions siehe Microsoft 365 Response Actions.

Aktionen mit der Sophos Firewall

Wenn Sie die Sophos Firewall verwenden, können wir mit den Bedrohungsfeeds von XG Firewall interagieren. Zum Beispiel können wir im Falle eines kritischen Vorfalls die VPN-Sitzungen kompromittierter Benutzer beenden.