Zum Inhalt

Erkennungen

Erkennungen zeigen Ihnen Aktivitäten, die Sie möglicherweise untersuchen müssen.

Um Erkennungen anzuzeigen, gehen Sie zu Übersicht > Bedrohungsanalyse-Center > Erkennungen.

Erkennungen identifizieren Aktivitäten auf Ihren Geräten, die ungewöhnlich oder verdächtig sind, aber nicht blockiert wurden. Sie unterscheiden sich von Ereignissen, bei denen wir Aktivitäten erkennen und blockieren, von denen wir bereits wissen, dass sie bösartig sind.

Wir generieren Erkennungen auf der Basis von Daten, die Geräte in den Sophos Data Lake hochladen.

Wir gleichen die Daten mit Klassifizierungsregeln für Bedrohungen ab. Bei einer Übereinstimmung zeigen wir eine Erkennung an.

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Erkennungen nach potenziellen Bedrohungen suchen können.

Hinweis

Analysen können verwandte Erkennungen automatisch gruppieren, um erweiterte Analyse-Funktionen zu erhalten. Siehe Analysen.

Erkennungen einrichten

Wenn Sie noch keine Erkennungen haben, müssen Sie zulassen, dass Ihre Geräte Daten in den Sophos Data Lake hochladen, damit wir sie verwenden können. Verfahren Sie wie folgt:

  1. Gehen Sie zu Übersicht > Globale Einstellungen.
  2. Klicken Sie unter Endpoint Protection oder Server Protection auf Data Lake-Uploads. Aktivieren Sie Uploads.

    Sie müssen Uploads für Computer und Server separat aktivieren.

Jetzt werden Erkennungen angezeigt.

Für weitere Informationen zu Daten-Uploads siehe Data-Lake-Uploads.

Erkennungs-Details anzeigen

Um Erkennungen anzuzeigen, gehen Sie zu Übersicht > Bedrohungsanalyse-Center > Erkennungen.

Wir gruppieren Erkennungen nach der Regel, die ihnen entspricht, und dem Datum. Die Erkennungs-Liste zeigt Folgendes:

  • Risiko. Das Risiko liegt auf einer Skala von 1 (am niedrigsten) bis 10 (am höchsten). Bei den Standardeinstellungen zeigen wir nur Erkennungen mit einem Risikowert von 7 oder mehr an. Anhand der Risikostufen können Sie Ihre Analysen priorisieren.
  • Klassifizierungsregel. Der Name der übereinstimmenden Regel.
  • Anzahl. Anzahl der Übereinstimmungen mit der Klassifizierungsregel an einem bestimmten Tag.
  • Geräteliste. Das Gerät, auf dem die Regel zuletzt abgeglichen wurde, und die Anzahl der anderen Geräte mit derselben Erkennung an diesem Tag.
  • Zuerst gesehen und Zuletzt gesehen. Die erste und letzte Erkennung basierend auf der Klassifizierungsregel an diesem Tag.
  • Beschreibung. Was die Regel identifiziert.
  • Mitre ATT&CK. Die entsprechende Mitre ATT&CK-Taktik und -Technik.

Klicken Sie auf den Pfeil auf der rechten Seite, um alle Details einer Erkennung anzuzeigen, z. B. Gerät, Benutzer und beteiligte Prozesse.

Erkennungs-Liste

Suchen nach potenziellen Bedrohungen

Anhand von Erkennungen können Sie Geräte, Prozesse, Benutzer und Ereignisse auf Anzeichen von potenziellen Bedrohungen untersuchen, die andere Sophos-Funktionen nicht blockiert haben. Beispiel:

  • Ungewöhnliche Befehle, die darauf hinweisen, dass versucht wird, Ihre Systeme zu inspizieren und auf ihnen zu bleiben, Sicherheit zu umgehen oder Anmeldeinformationen zu stehlen.
  • Sophos-Malware-Warnungen, z. B. dynamische Shellcode-Prevention-Ereignisse, die darauf hinweisen, dass ein Angreifer möglicherweise ein Gerät infiltriert hat.
  • Runtime-Erkennungen von Linux, wie z. B. Container Escapes, die darauf hinweisen, dass ein Angreifer Berechtigungen vom Containerzugriff eskaliert, um zum Container-Host zu wechseln.

Die meisten Erkennungen sind mit dem MITRE ATT&CK-Framework verknüpft, wo Sie weitere Informationen über die spezifische Taktik und Technik finden können. Siehe https://attack.mitre.org/

Sie können auch nach Anzeichen einer vermuteten oder bekannten Bedrohung, die Sophos anderswo gefunden hat, oder nach veralteter Software oder unsicheren Browsern suchen.

Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen

Sie können mehr über Erkennungen erfahren, indem Sie Pivot-Abfragen verwenden.

Mit einer Pivot-Abfrage können Sie einen wesentlichen Bestandteil der Daten einer Erkennung auswählen und diesen als Grundlage für die weitere Analyse verwenden.

Wenn Sie die vollständigen Details einer Erkennung anzeigen, sehen Sie neben einigen Elementen ein Auslassungssymbol. Screenshot des Auslassungssymbols

Klicken Sie auf das Symbol, um die verfügbaren Aktionen zu sehen. Diese hängen von der Art der Daten ab.

  • Abfragen. Sie können eine Abfrage basierend auf den ausgewählten Daten ausführen. Live-Discover-Abfragen betrachten Daten auf Ihren Geräten. Data-Lake-Abfragen betrachten die Daten, die Geräte in den Sophos Data Lake hochladen.
  • Anreicherungen. Diese öffnen Websites von Drittanbietern wie VirusTotal oder IP Abuse DB, um Informationen über eine potenzielle Bedrohung zu finden, die Sie gefunden haben.
  • Aktionen. Bieten weitere Erkennung oder Bereinigung. Zum Beispiel können Sie ein Gerät scannen oder Sophos Live Response starten, um auf ein Gerät zuzugreifen und es zu untersuchen.

In dem gezeigten Beispiel können Sie durch Klicken auf das Symbol neben der IP-Adresse Abfragen auf der Grundlage dieser IP-Adresse ausführen oder Informationen von Drittanbietern über die damit verbundenen Risiken abrufen.

Pivot-Menü „Erkennungen“

Wie Sie Hilfe erhalten

Wir bieten einen „Managed Threat Response“-Service an, der Ihre Umgebung rund um die Uhr auf böswillige Aktivitäten überwacht und in Ihrem Namen Maßnahmen ergreift.

Siehe https://www.sophos.com/de-de/products/managed-threat-response.aspx.

Hinweis

Wenn Sie der Meinung sind, dass Ihre Sicherheit kompromittiert wurde und Sie Soforthilfe benötigen, wenden Sie sich an unser „Rapid Response“-Team. Der Service ist kostenpflichtig.

Siehe https://www.sophos.com/de-de/products/managed-threat-response/rapid-response.aspx.

Zurück zum Seitenanfang