Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=analyze-cases

Fälle untersuchen

Diese Seite ist nur für „selbstverwaltete“ Fälle vorgesehen.

Sie können Fälle mithilfe von Informationen und Tools auf der Seite Falldetails untersuchen, wie auf dieser Seite beschrieben.

Wir empfehlen außerdem, unseren KI-Assistenten zu verwenden, um mehr über Erkennungen zu erfahren und Vorschläge für Maßnahmen zu erhalten. Siehe AI-Assistent.

Führen Sie eine Aufzeichnung Ihrer Analyse auf dem Tab Notizen in den Detailseiten eines Falls.

In einigen Fällen können Sie auch auf Fälle reagieren. Siehe Auf Fälle reagieren.

Fall untersuchen

So starten Sie Ihre Analyse:

  1. Öffnen Sie die Seite Fälle.

    Seite „Fälle“.

  2. Klicken Sie auf die Fall-ID des Falls.

    Fall-ID-Link in der Fallliste.

  3. Auf der Registerkarte Übersicht finden Sie Informationen über die Erkennung, die den Fall generiert hat, und können Ihre Analyse mithilfe der Sophos AI-Tools starten.

    Tab „Übersicht“ des Falls.

Auf diesem Tab können Sie Folgendes tun:

  • Informationen zum Fall zusammenfassen. Siehe Fallzusammenfassung.
  • Die Befehlszeile analysieren, die durch die Bedrohung ausgeführt wurde. Siehe Befehlszeilenanalyse.
  • Überprüfen Sie, welche Geräte und Benutzer betroffen waren. Siehe Betroffene Einheiten.
  • Ermitteln Sie die verwendeten Angriffstaktiken und -techniken. Siehe MITRE-Taktiken. Schauen Sie alternativ in den Erkennungsdetails nach.

Fallzusammenfassung

Sie können Sophos AI verwenden, um eine Fallzusammenfassung für Sie zu generieren.

  1. Klicken Sie in Fallzusammenfassung auf das KI-Symbol.

    Sophos AI analysiert den Fall und fasst die Details zusammen.

    Seite „Fallzusammenfassung“.

  2. Wenn Sie die Zusammenfassung speichern möchten, klicken Sie auf Einfügen. Zum Verwerfen klicken Sie auf das „X“.

    Wenn Sie die Zusammenfassung speichern, können Sie auf das Bearbeiten-Symbol Bearbeitungssymbol. klicken und Änderungen an ihr vornehmen.

    Fallzusammenfassung mit Schaltfläche „Einfügen“.

Alternativ können Sie den Fall manuell zusammenfassen. Klicken Sie auf das Symbol „Bearbeiten“ Bearbeitungssymbol. und geben Sie Ihre Zusammenfassung ein.

Befehlszeilenanalyse

Anhand von Sophos AI können Sie die Befehlszeile analysieren, die durch die Bedrohung ausgeführt wurde, die den Fall generiert hat.

Klicken Sie in Befehlszeilenanalyse auf das KI-Symbol.

Bereich „Befehlszeilenanalyse“.

Sophos AI analysiert die Befehlszeile, um die Absichten der Bedrohung und mögliche Auswirkungen zu ermitteln. Bei Bedarf entschleiert die Funktion den Code und minimiert so die Komplexität und den Zeitaufwand für die Analyse der Bedrohung.

Betroffene Einheiten

Betroffene Einheiten listen die Geräte, Benutzer, Dateien, IP-Adressen und Prozesse auf, die von der erkannten Bedrohung betroffen sind.

Klicken Sie auf einen Gerätenamen, um die vollständigen Details auf der Seite Computer und Server anzusehen.

MITRE-Taktiken

Der Bereich MITRE-Taktiken listet alle MITRE ATT&CK-Taktiken und -Techniken auf, die wir entdeckt haben.

Klicken Sie auf den Ausklapppfeil neben einer Taktik, um die Technik anzuzeigen.

Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel Zugriff auf Anmeldedaten im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.

Details zur MITRE-Taktik.

Auf Fälle reagieren

Die Funktion „Reaktionsmaßnahme“ ist derzeit für die meisten Produktintegrationen von Drittanbietern nicht verfügbar.

In einigen Fällen können Sie erkannte Probleme über Produkte von Drittanbietern beheben.

Um diese Funktion verwenden zu können, müssen Sie eine Integration für Reaktionsmaßnahmen mit dem Produkt eines Drittanbieters einrichten, das Sie verwenden möchten. Gehen Sie zu Produkte und klicken Sie auf Ihr Produkt.

In diesem Beispiel wird gezeigt, wie eine Reaktionsmaßnahme verwendet wird, um einen kompromittierten Benutzer zu sperren. Gehen Sie folgendermaßen vor, um eine Maßnahme zu ergreifen:

  1. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.
  2. Wählen Sie die Registerkarte Reaktion.

  3. Suchen Sie die gewünschte Maßnahme. Klicken Sie auf den Produkttyp Identität, um die für diesen Typ verfügbaren Maßnahmen anzuzeigen.

    Auf der Registerkarte „Reaktion“ werden Maßnahmen zum Typ „Identität“ angezeigt.

  4. Klicken Sie auf Benutzer sperren.

  5. Geben Sie auf der Detailseite der Maßnahme die erforderlichen Informationen und einen Grund für die Maßnahme ein.

    Dialogfeld „Benutzer sperren“.

  6. Klicken Sie Ausführen.