Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=create-cases

Fälle erstellen

Wir erstellen Fälle für die Erkennungen, die Sie wahrscheinlich von uns untersuchen lassen möchten.

Sie können Fälle auch manuell erstellen und selbst untersuchen. Sie können beliebige Erkennungen einbeziehen, auch wenn sie bereits in einem automatisch generierten Fall enthalten sind.

Zum Erstellen von Fällen haben Sie die folgenden Möglichkeiten:

Je nach Lizenz können Sie auch Serviceanfragen für Sophos MDR oder Sophos Managed Risk erstellen. Diese basieren nicht auf Erkennungen, aber Sie können uns kontaktieren, um Untersuchungen vorzuschlagen oder um Hilfe zu bitten. Siehe MDR-Serviceanfrage erstellen oder Managed-Risk-Serviceanfrage erstellen.

Fall auf der Seite „Fälle“ erstellen

Sie können einen Fall basierend auf Sophos XDR-Erkennungen erstellen. Sie können keinen Fall für Sophos MDR- oder Managed Risk-Erkennungen erstellen. Der Fall wird von Ihnen verwaltet.

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle.

  2. Klicken Sie auf der Seite Fälle oben rechts auf Fall erstellen.

    Schaltfläche „Fall erstellen“.

  3. Wählen Sie Selbstverwalteter Fall aus.

    Auswahl für Falltyp.

  4. Verfahren Sie unter Fall erstellen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für den Fall ein.
    2. Wählen Sie den Schweregrad aus.
    3. Wählen Sie den Status (Neu).

    4. Wählen Sie einen Bearbeiter aus. Dies ist der Administrator, der den Fall untersucht.

      Sie können später einen Bearbeiter auswählen, wenn Sie möchten.

    5. Klicken Sie auf Erstellen.

    Dialogfeld „Fall erstellen“.

    Die Seite Falldetails wird angezeigt.

  5. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.

  6. Wählen Sie die gewünschten Erkennungen aus der Erkennungsliste aus.

    Seite „Erkennungen“ mit ausgewählten Erkennungen.

  7. Klicken Sie auf Aktionen und wählen Sie Zu Fall hinzufügen aus.

    Menü „Aktionen“.

  8. Wählen Sie Ihren neuen Fall aus und klicken Sie auf Zu Fall hinzufügen.

    Dialogfenster „Zu Fall hinzufügen“.

    Die Seite Falldetails wird angezeigt.

Wenn Sie bereit sind, mit der Analyse zu beginnen, siehe Fälle untersuchen.

Sie können Ihrem Fall auf der Seite Erkennungen zu einem späteren Zeitpunkt weitere Erkennungen hinzufügen.

Fall auf der Seite „Erkennungen“ erstellen

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.

  2. Wählen Sie in der Liste Erkennungen die zu untersuchenden Erkennungen aus.

    Seite „Erkennungen“ mit ausgewählten Erkennungen.

  3. Klicken Sie auf Aktionen und wählen Sie Fall erstellen aus.

    Menü „Aktionen“.

  4. Verfahren Sie unter Fall erstellen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für den Fall ein.
    2. Wählen Sie den Schweregrad aus.
    3. Wählen Sie den Status (Neu).

    4. Wählen Sie einen Bearbeiter aus. Dies ist der Administrator, der den Fall untersucht.

      Sie können den Bearbeiter später auswählen, wenn Sie möchten.

    5. Klicken Sie auf Erstellen.

    Dialogfeld „Fall erstellen“.

Wenn Sie bereit sind, mit der Analyse zu beginnen, siehe Fälle untersuchen.

Sie können Ihrem Fall später weitere Erkennungen hinzufügen. Wählen Sie in der Liste Erkennungen Erkennungen aus, klicken Sie auf Aktionen, wählen Sie Zu Fall hinzufügen und wählen Sie dann Ihren Fall aus.

Fälle untersuchen

Auf der Registerkarte Notizen in den Falldetails können Sie Ihre Analyse im Fall aufzeichnen. Wir empfehlen Ihnen, die folgenden Schritte auszuführen:

  • Entscheiden Sie, ob Sie die Analyse untersuchen oder schließen müssen.
  • Überprüfen Sie die im Ereignis verwendeten externen und internen Verbindungen.
  • Überprüfen Sie, welche Geräte und Benutzer betroffen waren.
  • Ermitteln Sie die verwendeten Angriffstaktiken und -techniken. Sie sehen diese in den Details zur Erkennung.
  • Verwenden Sie die Pivot-Optionen in den Erkennungen, um Abfragen zu den Daten auszuführen oder Bedrohungsanalyse-Websites von Drittanbietern zu konsultieren. Siehe Schnellaktionen, Anreicherungen und Abfragen verwenden.

Auf Fälle reagieren

Die Funktion „Reaktionsmaßnahme“ ist derzeit für die meisten Produktintegrationen von Drittanbietern nicht verfügbar.

Sie können erkannte Probleme über Produkte von Drittanbietern beheben.

Um diese Funktion verwenden zu können, müssen Sie eine Integration für Reaktionsmaßnahmen mit dem Produkt eines Drittanbieters einrichten, das Sie verwenden möchten. Gehen Sie zu Produkte und klicken Sie auf Ihr Produkt.

In diesem Beispiel wird gezeigt, wie eine Reaktionsmaßnahme verwendet wird, um einen kompromittierten Benutzer zu sperren. Gehen Sie folgendermaßen vor, um eine Maßnahme zu ergreifen:

  1. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.
  2. Wählen Sie die Registerkarte Reaktion.

  3. Suchen Sie die gewünschte Maßnahme. Klicken Sie auf den Produkttyp Identität, um die für diesen Typ verfügbaren Maßnahmen anzuzeigen.

    Auf der Registerkarte „Reaktion“ werden Maßnahmen zum Typ „Identität“ angezeigt.

  4. Klicken Sie auf die Maßnahme Benutzer sperren.

  5. Geben Sie auf der Detailseite der Maßnahme die erforderlichen Informationen und einen Grund für die Maßnahme ein.

    Dialogfeld „Benutzer sperren“.

  6. Klicken Sie Ausführen.

Fälle schließen oder entfernen

Diese Option gilt nur für selbstverwaltete Fälle.

Um einen Fall zu schließen, ändern Sie den Status in Behoben. Der Fall bleibt 30 Tage lang in der Liste und wird anschließend gelöscht.

Partner-Super-Admins und Enterprise-Super-Admins können keine Fälle schließen oder entfernen.

Um einen Fall aus der Liste zu entfernen, wählen Sie ihn aus und klicken Sie auf Fälle entfernen.

Liste „Fälle“ mit Fällen, die entfernt werden sollen.

MDR-Serviceanfrage erstellen

Sie benötigen eine MDR-Lizenz, um diese Funktion nutzen zu können.

Mit einer MDR-Serviceanfrage können Sie unserem MDR-Team Probleme melden. So erstellen Sie einen Anfrage:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle.
  2. Klicken Sie auf der Seite Fälle oben rechts auf Fall erstellen.
  3. Wählen Sie MDR-Serviceanfrage.

  4. Gehen Sie unter Eine Serviceanfrage für das MDR-Team erstellen wie folgt vor:

    1. Geben Sie einen Namen und eine Beschreibung für den Fall ein.
    2. Klicken Sie auf Erstellen.

  5. Auf der Seite Falldetails können Sie auf dem Tab Nachrichten Nachrichten mit dem MDR-Team austauschen.

Sie können keine anderen Tabs hinzufügen oder bearbeiten.

Managed-Risk-Serviceanfrage erstellen

Sie benötigen eine Managed-Risk-Lizenz, um diese Funktion nutzen zu können.

Der Sophos Managed Risk Service meldet alle Ihre internetorientierten Assets, scannt die von Ihnen angegebenen Assets auf Schwachstellen, meldet Risiken und schlägt Bereinigungsmaßnahmen vor.

Mit einer Managed-Risk-Serviceanfrage können Sie Änderungen an Ihren Managed-Risk-Einstellungen anfordern oder Meetings mit dem Managed-Risk-Team vereinbaren.

Gehen Sie bei einer Managed Risk-Serviceanfrage wie folgt vor:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle.
  2. Klicken Sie auf der Seite Fälle oben rechts auf Fall erstellen.
  3. Wählen Sie Managed-Risk-Serviceanfrage.

  4. Gehen Sie unter Eine Serviceanfrage für das Managed-Risk-Team erstellen wie folgt vor:

    1. Geben Sie einen Namen und eine Beschreibung für den Fall ein.
    2. Klicken Sie auf Erstellen.