Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=threat-analysis-cases

Fälle

Die Seite Fälle gruppiert verdächtige Ereignisse, die von unserer Erkennungs-Funktion gemeldet werden, und unterstützt Sie oder das MDR-Team bei der Analyse und Reaktion.

Wie Fälle funktionieren

Wir erstellen und verwalten Fälle automatisch für Sie. Alternativ können Sie eigene erstellen und verwalten.

Fälle, die Sophos verwaltet

Wir erstellen automatisch Fälle für Sie. Diese konzentrieren sich auf die Erkennungen, die unserer Meinung nach analysiert werden müssen.

  • Wir erstellen einen Fall für hochriskante Erkennungen, die nicht bereits am selben Tag in einen Fall aufgenommen wurden.
  • Wir fügen dem Fall spätere Erkennungen hinzu, wenn sie den gleichen Erkennungs-Typ aufweisen.
  • Wenn der Fall auf MDR-Erkennungen basiert, führen wir eine Analyse und Reaktion durch. Dies ist ein „Sophos Central-verwalteter“ Fall.

Hinweis

Wenn der Fall auf Sophos XDR-Erkennungen basiert, führen wir keine Analyse durch. Siehe Von Ihnen verwaltete Fälle.

Von Ihnen verwaltete Fälle

Wenn wir einen Fall basierend auf XDR-Erkennungen erstellen, handelt es sich um einen „selbstverwalteten“ Fall. Wenn Sie Ihre Fälle überprüfen, suchen Sie in den Details nach „Verwaltet von“ nach „Selbst“. Für die Analyse und Reaktion müssen Sie einen Administrator zuweisen. Siehe Fälle zuweisen.

Sie können Ihre eigenen Fälle auch manuell erstellen und verwalten. Siehe Fälle erstellen.

Fälle anzeigen

Um Ihre Fälle anzuzeigen, gehen Sie zu Bedrohungsanalyse-Center > Fälle.

Seite „Fälle“.

Hinweis

Wenn Sie diese Seite zum ersten Mal anzeigen, ist die Liste möglicherweise leer. Rufen Sie die Seite zu einem späteren Zeitpunkt erneut auf, um automatisch erstellte Fälle zu sehen, oder erstellen Sie Ihre eigenen. Wenn Sie immer noch keine Fälle bekommen, siehe Problembehandlung zu Fällen.

Die Fallliste enthält die folgenden Details für jeden Fall.

Schweregrad

Wert Farbe Beschreibung
Kritisch Rot Eine bestätigte Kompromittierung oder ein unbefugter Zugriff auf Systeme.
Hoch Orange Erkennungen, die auf einen gezielten Angriff hinweisen, der zu einer Kompromittierung oder einem unbefugten Zugriff führen könnte.
Mittel Gelb Erkennungen, die von sich aus nicht als bösartig angesehen werden können und die nicht erkennbar gezielt sind.
Niedrig Dunkelgrau Erkennungen, die nicht auf Integritätsverletzungen, bösartige Aktivitäten, eine Kompromittierung oder einen nicht autorisierten Zugriff hinweisen.
Info Hellgrau Ein spezieller Schweregrad, der normalerweise für erste Integritätsprüfungen verwendet wird.

Status

Sophos-verwaltete Fälle können folgende Statusangaben anzeigen:

  • In Bearbeitung: Wir analysieren die Daten noch.
  • Maßnahme erforderlich: Sie müssen tätig werden. Wir haben Ihre Kontakte benachrichtigt.
  • Behoben: Wir haben die Bedrohung behoben.

Verwaltet von

Sie können sehen, wer den Fall verwaltet:

  • Sophos: Unser MDR-Team untersucht den Fall und reagiert darauf. Sie können keine Änderungen vornehmen, aber Sie können dem MDR-Team auf den Fall antworten.
  • Selbst: Sie müssen den Fall untersuchen und Reaktionsmaßnahmen vornehmen.

Falldetails anzeigen

Gehen Sie wie folgt vor, um die Details eines Falls anzuzeigen und dessen Fortschritt zu verfolgen:

  1. Klicken Sie auf der Seite Fälle auf die Fall-ID neben dem Fall.

    Fall-ID-Link in der Fallliste.

  2. Auf der Seite Falldetails werden in der Kopfzeile der Seite der Schweregrad, Status und Eigentümer angezeigt. Außerdem wird angezeigt, wann der Fall erstellt, zugewiesen und zuletzt aktualisiert wurde.

    Falldetails.

Die Seite enthält auch Registerkarten für weitere Details.

Registerkarte „Übersicht“

Der Tab Übersicht ist standardmäßig geöffnet. Er zeigt an, wie viele Erkennungen dem Fall hinzugefügt wurden, und umfasst Informationen zu den erkannten MITRE-Taktiken, den betroffenen Geräten und Benutzern, eine Zusammenfassung des Falls und Details zu den jüngsten Aktivitäten im Fall.

Für selbstverwaltete Fälle ermöglicht dieser Tab die Verwendung von KI-Tools zur Untersuchung des Falls. Siehe Fälle untersuchen.

Registerkarte „Übersicht“ zu Falldetails.

MITRE-Taktiken

MITRE-Taktiken listet alle MITRE ATT&CK-Taktiken und -Techniken auf, die wir entdeckt haben.

Klicken Sie auf den Ausklapppfeil neben einer Taktik, um die Technik anzuzeigen.

Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel Zugriff auf Anmeldedaten im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.

Details zur MITRE-Taktik.

Fallzusammenfassung

Wenn Sie ein MDR-Kunde sind, gibt das MDR-Team eine Fallzusammenfassung für Sie ein. Wenn Sie ein XDR-Kunde sind, können Sie Sophos AI verwenden, um eine Fallzusammenfassung zu generieren oder Ihre eigene Zusammenfassung einzugeben.

Kommandozeile

Die Befehlszeile, die durch die Bedrohung ausgeführt wurde, die den Fall generiert hat. Als XDR-Kunde können Sie Sophos AI verwenden, um die Befehlszeile zu analysieren und ihre Absichten und möglichen Auswirkungen zu ermitteln.

Letzte Aktivität

Letzte Aktivität zeigt die letzten Änderungen an dem Fall an. Klicken Sie auf Alle anzeigen, um zur Registerkarte Verlauf zu gelangen.

Registerkarte „Erkennungen“

Auf der Registerkarte Erkennungen werden alle im Fall enthaltenen Erkennungen aufgelistet. Es werden die gleichen Details wie die Liste auf der Seite Erkennungen angezeigt. Siehe Erkennungen.

Registerkarte „Erkennungen“.

Registerkarte „Notizen“

Wenn Sie an einem selbst verwalteten Fall arbeiten, verwenden Sie den Tab Notizen, um Ihre Analysen aufzuzeichnen.

Tab „Nachrichten“

Auf dem Tab Nachrichten werden auch Nachrichten des Sophos-MDR-Teams über den Fall angezeigt.

  • Von Ihnen gesendete Nachrichten werden im MDR-Posteingang zugestellt. Wir beantworten diese später.
  • Von Ihnen gesendete oder empfangene Nachrichten werden in die Posteingänge Ihrer autorisierten Kontakte kopiert, damit Sie keine Nachrichten verpassen.
  • Sie können Anhänge sowie Nachrichten senden und empfangen.

Registerkarte „Verlauf“

Die Registerkarte Verlauf zeigt den Verlauf aller Aktivitäten für diesen Fall an. Zum Beispiel hinzugefügte Erkennungen oder Änderungen des Status, des Eigentümers usw.

Problembehandlung zu Fällen

Fälle basieren auf Erkennungen, die in Daten gefunden werden, die Ihre Geräte in den Sophos Data Lake hochladen. Diese Uploads sind standardmäßig aktiviert. Wenn Sie keine Erkennungen erhalten, überprüfen Sie, ob diese aktiviert sind.

Um zu überprüfen, ob Daten von Sophos-Produkten hochgeladen wurden, siehe Data-Lake-Uploads. Informationen zu Daten von Drittanbieter-Produkten finden Sie unter Über MDR- und XDR-Integrationen.