Zum Inhalt

Fälle

Fälle ersetzen Analysen. Analysen bleiben für eine gewisse Zeit verfügbar, damit Sie noch laufende Analysen abschließen können.

Die Seite Fälle gruppiert verdächtige Ereignisse, die von unserer Erkennungs-Funktion gemeldet werden, und unterstützt Sie oder das MDR-Team bei der Durchführung forensischer Arbeiten und der Reaktion.

Informationen zu Fällen

Wir erstellen automatisch Fälle für Sie. Diese konzentrieren sich auf die Erkennungen, deren Analyse wir empfehlen.

  • Wir erstellen einen Fall für hochriskante Erkennungen, die nicht bereits am selben Tag in einen Fall aufgenommen wurden.
  • Wir fügen dem Fall spätere Erkennungen hinzu, wenn sie den gleichen Erkennungs-Typ aufweisen.

Fälle können entweder auf Sophos XDR-Erkennungen oder auf Sophos MDR-Erkennungen basieren. Sie können XDR-Fälle ändern, MDR-Fälle sind jedoch schreibgeschützt.

Sie können auch Ihre eigenen Fälle erstellen. Siehe Fälle erstellen.

Fälle aktivieren

Erkennungen und Fälle basieren auf Daten im Sophos Data Lake.

Wenn Sie Erkennungen noch nicht erhalten, stellen Sie sicher, dass das Hochladen von Sicherheitsdaten in den Data Lake aktiviert ist.

Die Daten können von verschiedenen Sophos- oder Drittanbieter-Produkten stammen.

Informationen zu Daten von Sophos-Produkten finden Sie unter Data-Lake-Uploads. Informationen zu Daten von Drittanbieter-Produkten finden Sie unter Integrationen.

Fälle anzeigen

Verfahren Sie zur Anzeige Ihrer Fälle wie folgt:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle.

    Seite „Fälle“.

    Hinweis

    Wenn Sie diese Seite zum ersten Mal anzeigen, ist die Liste möglicherweise leer. Rufen Sie die Seite zu einem späteren Zeitpunkt erneut auf, um automatisch erstellte Fälle zu sehen, oder erstellen Sie Ihre eigenen.

  2. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.

    Fall-ID-Link in der Fallliste.

Jetzt wird die Seite mit den Falldetails angezeigt. Für weitere Informationen siehe Falldetails anzeigen.

Falldetails.

Bearbeiten und Zuweisen von Fällen

Sie können nur XDR-Fälle bearbeiten und zuweisen. Unser MDR-Team bearbeitet die MDR-Fälle.

Sie können Fälle bearbeiten und sie Administratoren zur Analyse zuweisen.

Partner-Super-Admins und Enterprise-Super-Admins können keine Fälle bearbeiten und zuweisen.

Um Fälle zu bearbeiten und zuzuweisen, gehen Sie wie folgt vor:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Fälle, um eine Liste der Fälle anzuzeigen.
  2. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.
  3. Auf der Seite mit den Falldetails ist die Registerkarte Übersicht standardmäßig geöffnet. Gehen Sie folgendermaßen vor:

    1. Legen Sie die Priorität auf Kritisch, Hoch, Mittel, Niedrig oder Info fest.
    2. Ändern Sie den Status von Neu in Untersuchung, wenn Sie bereit sind zu beginnen.
    3. Wählen Sie unter Eigentümer den Administrator aus, dem Sie den Fall zuweisen möchten.
    4. Geben Sie in Zusammenfassung eine Beschreibung für den Fall ein.

    Seite „Falldetails“.

Wir fügen dem Fall entsprechende Erkennungen hinzu, sobald sie auftreten.

Hinweis

Wir benachrichtigen Sophos-Central-Administratoren über neue Fälle, wenn Sie für E-Mail-Benachrichtigungen für sie eingerichtet haben. Siehe E-Mail-Benachrichtigungen.

Falldetails anzeigen

Um die vollständigen Details eines Falls anzuzeigen, klicken Sie auf die Fall-ID daneben.

In der Kopfzeile der Seite Falldetails werden der Schweregrad, der Status und der Eigentümer des Falls angezeigt. Außerdem wird angezeigt, wann der Fall erstellt, zugewiesen und zuletzt aktualisiert wurde.

Die Seite enthält auch Registerkarten für weitere Details.

Kopfzeile für Falldetails.

Registerkarte „Übersicht“

Die Registerkarte Übersicht ist standardmäßig geöffnet und zeigt eine Fallzusammenfassung, Details zur MITRE-Taktik und die letzten Aktivitäten an.

Registerkarte „Übersicht“ zu Falldetails.

Übersicht

Wenn Sie ein XDR-Kunde sind, geben Sie Ihre Fallbeschreibung ein. Wenn Sie ein MDR-Kunde sind, gibt das MDR-Team eine Beschreibung für Sie ein.

MITRE-Taktik

MITRE-Taktiken listet alle MITRE ATT&CK-Taktiken und -Techniken auf, die wir entdeckt haben.

Klicken Sie auf den Ausklapppfeil neben einer Taktik, um die Technik anzuzeigen.

Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel Zugriff auf Anmeldedaten im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.

Details zur MITRE-Taktik.

Letzte Aktivität

Letzte Aktivität zeigt die letzten Änderungen an dem Fall an. Klicken Sie auf Alle anzeigen, um zur Registerkarte Verlauf zu gelangen.

Registerkarte „Erkennungen“

Auf der Registerkarte Erkennungen werden alle im Fall enthaltenen Erkennungen aufgelistet. Es werden die gleichen Details wie die Liste auf der Seite Erkennungen angezeigt. Siehe Erkennungen.

Registerkarte „Erkennungen“.

Registerkarte „Notizen“

Auf der Registerkarte „Notizen“ können Sie Ihre Untersuchungen aufzeichnen.

Registerkarte „Verlauf“

Die Registerkarte Verlauf zeigt den Verlauf aller Aktivitäten für diesen Fall an. Zum Beispiel hinzugefügte Erkennungen oder Änderungen des Status, des Eigentümers usw.

Fälle untersuchen

Auf der Registerkarte Notizen in den Falldetails können Sie Ihre Analyse im Fall aufzeichnen. Wir empfehlen Ihnen, die folgenden Schritte auszuführen:

  • Entscheiden Sie, ob Sie die Analyse untersuchen oder schließen müssen.
  • Überprüfen Sie die im Ereignis verwendeten externen und internen Verbindungen.
  • Überprüfen Sie, welche Geräte und Benutzer betroffen waren.
  • Ermitteln Sie die verwendeten Angriffstaktiken und -techniken. Sie sehen diese in den Details zur Erkennung.
  • Verwenden Sie die Pivot-Optionen in den Erkennungen, um Abfragen zu den Daten auszuführen oder Bedrohungsanalyse-Websites von Drittanbietern zu konsultieren. Siehe Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen.

Auf Fälle reagieren

Sie können erkannte Probleme über Produkte von Drittanbietern beheben.

Um diese Funktion verwenden zu können, müssen Sie eine Integration für Reaktionsmaßnahmen mit dem Produkt eines Drittanbieters einrichten, das Sie verwenden möchten. Gehen Sie zu Integrationen und klicken Sie auf Ihr Produkt.

In diesem Beispiel wird gezeigt, wie eine Reaktionsmaßnahme verwendet wird, um einen kompromittierten Benutzer zu sperren. Gehen Sie folgendermaßen vor, um eine Maßnahme zu ergreifen:

  1. Klicken Sie auf die Fall-ID neben einem Fall, um Details anzuzeigen.
  2. Wählen Sie die Registerkarte Reaktion.
  3. Suchen Sie die gewünschte Maßnahme. Klicken Sie auf den Produkttyp Identität, um die für diesen Typ verfügbaren Maßnahmen anzuzeigen.

    Auf der Registerkarte „Reaktion“ werden Maßnahmen zum Typ „Identität“ angezeigt.

  4. Klicken Sie auf die Maßnahme Benutzer sperren.

  5. Geben Sie auf der Detailseite der Maßnahme die erforderlichen Informationen und einen Grund für die Maßnahme ein.

    Dialogfeld „Benutzer sperren“.

  6. Klicken Sie Ausführen.

Fälle schließen oder entfernen

Um einen Fall zu schließen, ändern Sie den Status in Geschlossen. Der Fall bleibt 30 Tage lang in der Liste und wird anschließend gelöscht.

Partner-Super-Admins und Enterprise-Super-Admins können keine Fälle schließen oder entfernen.

Um einen Fall aus der Liste zu entfernen, wählen Sie ihn aus und klicken Sie auf Fälle entfernen.

Liste „Fälle“ mit Fällen, die entfernt werden sollen.