Zum Inhalt

Analysen

Mit Analysen können Sie potenzielle Bedrohungen untersuchen.

Analysen gruppieren verdächtige Ereignisse, die von unserer Erkennungs-Funktion gemeldet werden, und unterstützen Sie bei der Durchführung forensischer Arbeiten.

Auf dieser Seite erfahren Sie, wie Analysen funktionieren und wie Sie Folgendes tun können:

  • Analysen einrichten.
  • Analysen anzeigen und starten.
  • Erkannte Ereignisse untersuchen.
  • Analysen schließen.

Über Analysen

Wir erstellen automatisch Analysen für Sie. Diese konzentrieren sich auf die Erkennungen, deren Analyse wir empfehlen.

  • Wir erstellen eine neue Analyse für hochriskante Erkennungen, die nicht bereits am selben Tag in eine Analyse aufgenommen wurden.
  • Wir fügen der Analysen spätere Erkennungen hinzu, wenn sie in Beziehung stehen (gleicher Erkennungs-Typ oder gleiche betroffene Geräte).

Eine Regel kann mehreren Analysen angehören.

Alle Details finden Sie in So erstellt Sophos Analysen.

Sie können diese Analysen bearbeiten. Alternativ können Sie auch eigene Analysen erstellen. Siehe Erstellen einer Analyse.

Analysen einrichten

Erkennungen und Analysen basieren auf Daten im Sophos Data Lake. Bevor Sie diese Funktionen verwenden, stellen Sie sicher, dass das Hochladen von Sicherheitsdaten in den Data Lake aktiviert ist.

Die Daten können von verschiedenen Sophos-Produkten stammen.

Siehe Data-Lake-Uploads.

Analysen anzeigen und starten

Gehen Sie wie folgt vor, um von uns erstellte Analysen anzuzeigen, sie zu starten und Personen zuzuweisen:

  1. Gehen Sie zu Übersicht > Threat-Analysis-Center > Analysen.
  2. Ihnen wird eine Analyse-Liste angezeigt. Klicken Sie auf eine Analyse, um weitere Details anzuzeigen.

    Hinweis

    Wenn Sie diese Seite zum ersten Mal anzeigen, ist die Liste möglicherweise leer. Rufen Sie die Seite zu einem späteren Zeitpunkt erneut auf, um automatisch erstellte Analysen zu sehen, oder erstellen Sie Ihre eigenen.

    Seite „Analysen“

  3. Unter Anmerkungen zur Analyse finden Sie Analysedetails. In der Erkennung-Liste sehen Sie, welche verdächtigen Ereignisse enthalten sind. Beginnen Sie die Analyse wie folgt:

    1. Sie können als Priorität Hoch, Mittel oder Niedrig festlegen.
    2. Ändern Sie den Status von Nicht gestartet in In Bearbeitung.
    3. Klicken Sie auf Zuzuweisender Typ und wählen Sie die Sophos Central-Administratoren aus, die die Analyse vornehmen.

    Seite mit Analysedetails

Wir fügen der Analyse entsprechende Erkennungen hinzu, sobald sie auftreten. Sie können Erkennungen auch hinzufügen oder entfernen. Klicken Sie in der Erkennungs-Listeauf Aktionen und wählen Sie aus, wie Sie vorgehen möchten.

Hinweis

Standardmäßig informieren wir Superadmins per E-Mail über neue Analysen. Siehe E-Mail-Benachrichtigungen.

Untersuchen erkannter Ereignisse

Wir haben Ihnen eine Vorlage für Analysen zur Verfügung gestellt. Verfahren Sie wie folgt:

  1. Gehen Sie zu Übersicht > Threat-Analysis-Center > Analysen.
  2. Klicken Sie auf eine Analyse.

    Seite „Analysen“

  3. Erweitern Sie Anmerkungen zur Analyse. Sie sehen eine Reihe von Fragen, die auf dem Modell „Beobachten, Orientieren, Entscheiden, Handeln“ basieren.

    • Entscheiden Sie, ob Sie die Analyse untersuchen oder schließen müssen.
    • Überprüfen Sie die im Ereignis verwendeten externen und internen Verbindungen.
    • Überprüfen Sie, welche Geräte und Benutzer betroffen waren.
    • Ermitteln Sie die verwendeten Angriffstaktiken und -techniken. Diese werden in den Erkennung-Details angegeben.
    • Verwenden Sie die Pivot-Optionen in den Erkennungen, um Abfragen zu den Daten auszuführen oder Bedrohungsanalyse-Websites von Drittanbietern zu konsultieren. Siehe Erkennungen.

    Anmerkungen zur Analyse

Analysen schließen

Um eine Analyse zu schließen, ändern Sie den Status in Geschlossen.

Wir löschen die Analyse in 30 Tagen.

Zurück zum Seitenanfang