Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=threat-lineage

Bedrohungsabstammung

Diese Funktion ist wie folgt verfügbar:

  • MDR-Kunden können diese Funktion jetzt verwenden.
  • XDR-Kunden müssen dem Early-Access-Programm „Neue XDR-Funktionen“ beitreten, um diese Funktion verwenden zu können. Klicken Sie auf Ihr Profil und dann auf Early-Access-Programme, um zu beginnen.

Hinweis

Wenn Sie nur über MDR Essentials for Server oder MDR Complete for Server verfügen, melden Sie sich dem EAP „Neue Funktionen von Server Protection“ an, um die neue Funktion jetzt zu verwenden. Andernfalls können Sie sie erst im April 2025 verwenden.

Informationen zur Bedrohungsabstammung

Die Bedrohungsabstammung zeigt in grafischer Form die Prozesse, die zu einer Erkennung geführt und diese ausgelöst haben. Sie hilft Ihnen zu verstehen, wie sich die Bedrohung entwickelt hat, wo sie sich auf Ihre Umgebung auswirkte und welche Ergebnisse erzielt wurden.

Bedrohungsabstammung anzeigen

Sie können über die Detailseite einer Erkennung auf einen Bedrohungsabstammungsbaum zugreifen.

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.

    Alternativ können Sie zu Bedrohungsanalyse-Center > Fälle wechseln und den Tab Erkennungen auswählen.

  2. Suchen Sie die gewünschte Erkennung und klicken Sie auf eine beliebige Stelle in der entsprechenden Zeile in der Tabelle.

    Das Fenster mit den Erkennungsdetails wird rechts auf dem Bildschirm angezeigt.

  3. Wählen Sie im Detailfenster den Tab Abstammung aus.

    Wenn Sie keinen Tab Abstammung sehen, unterstützt diese Erkennung die neue Funktion nicht.

    Detailfenster zur Erkennung mit dem Tab „Abstammung“.

  4. Klicken Sie auf Abstammungsbaum öffnen.

    Der Tab „Abstammung“.

  5. Wenn noch kein Diagramm verfügbar ist, klicken Sie auf Generieren.

    Hinweis

    Wenn eine Erkennung einen „Fall“ generiert, wird automatisch ein Diagramm generiert und steht hier bereits zur Verfügung. Für Informationen zu Fällen siehe Fälle.

    Seite „Abstammung“ mit der Schaltfläche „Generieren“.

Es wird ein Diagramm der Prozesse angezeigt, die die Erkennung ausgelöst haben, und der Prozesse, die dazu geführt haben.

Abstammungsbaum.

Der Abstammungsbaum bleibt 7 Tage lang verfügbar. Sie können sie jederzeit während des Zeitraums regenerieren, in dem der Sophos XDR Data Lake die Daten speichert – in der Regel 90 Tage.

Schlüssel zur Bedrohungsabstammung

Der Abstammungsbaum verwendet die Symbole unten, um Prozesse und Aktivitäten darzustellen.

Symbol Prozess Beschreibung
Transparentes Sechseck. Prozess Ein Prozess, der zur Erkennung führte
Rotes Sechseck. Betroffener Prozess Verdächtiger oder potenziell böswilliger Prozess
Roter Blitz. Erkennung ausgelöst Ein Prozess, der eine Erkennung ausgelöst hat
Rotes Warnschild. Wichtige Aktivität Zentrale Aktionen, die den Fortschritt oder das Ergebnis späterer Ereignisse beeinflussen

Um diese Liste der Symbole und die Anzahl der einzelnen Prozesstypen im Diagramm anzuzeigen, klicken Sie auf das Legendensymbol oben rechts auf der Seite.

Legendensymbol.

Das Diagramm kann auch Prozesse und Aktivitäten anzeigen, die sich nicht in der direkten Herkunft befinden, aber von einem Prozess in der Herkunft gestartet wurden. Diese verzweigen sich vom Hauptdiagramm, wie hier gezeigt. Weitere Informationen dazu finden Sie unter Weitere Prozesse in der Abstammung anzeigen.

Diagramm mit zusätzlichen Prozessen, die von einem Prozess in der Abstammung gestartet wurden.

Weitere Details zu einem Prozess anzeigen

Sie können wie folgt weitere Details anzeigen:

  • Bewegen Sie den Mauszeiger über einen Prozess. Hier werden grundlegende Details und die Befehlszeile angezeigt.

    Prozess mit angezeigten Details.

  • Nutzen Sie die Pivot-Optionen. Klicken Sie auf die drei Punkte Symbol mit drei Punkten. neben dem Prozess. Sie können dann Abfragen auswählen, die in Live Discover ausgeführt werden sollen.

    Prozess mit angezeigtem Pivot-Menü.

  • Klicken Sie auf einen Prozess. Dadurch werden die Tabs Infos und Aktivitäten unterhalb des Diagramms geöffnet.

    Im Tab Infos werden Prozessdetails und die Befehlszeile angezeigt. Klicken Sie auf die Symbol mit drei Punkten. drei Punkte neben einem Detail, um dieselben Pivot-Optionen zu verwenden, die im Diagramm verfügbar sind.

    Wenn Sie über Sophos AI-Funktionen verfügen, klicken Sie auf das AI-Symbol AI-Symbol., um eine Analyse der Befehlszeile zu generieren.

    Weitere Informationen zum Tab Aktivitäten finden Sie unter Mit einem Prozess verknüpfte Aktivitäten.

    Tab „Infos“.

Mit einem Prozess verknüpfte Aktivitäten

Sie können alle Aktivitäten anzeigen, die mit einem Prozess verknüpft sind. Zu diesen Aktivitäten gehören andere, zugehörige Prozesse, die nicht im Abstammungsbaum enthalten sind.

So zeigen Sie Aktivitäten an:

  1. Klicken Sie auf einen Prozess im Baum, um dessen Details zu öffnen.

  2. Wählen Sie den Tab Aktivitäten.

    • Wenn die Abstammung automatisch generiert wurde und Sie einen betroffenen Prozess betrachten, werden auf dem Tab bereits Aktivitäten angezeigt.
    • Wenn Sie die Abstammung manuell erstellt haben, ist der Tab zunächst leer. Sie müssen die Daten wie im nächsten Schritt beschrieben laden.

    Der Tab „Aktivitäten“.

  3. Klicken Sie auf Anreichern rechts im Tab, um Daten zu laden.

    Wenn Sie zum ersten Mal auf Anreichern klicken, werden die ersten drei Tage der Daten angezeigt, beginnend mit dem Beginn des Prozesses. Jedes Mal, wenn Sie auf Anreichern klicken, werden weitere drei Tage Daten hinzugefügt und es werden weitere Aktivitäten aufgelistet.

    Ein Popup-Fenster am Anfang der Anreichern-Zeitachse zeigt das Datum und die Uhrzeit der Erstmaligen Erkennung an.

Sie können die angezeigten Informationen wie folgt ändern:

  • Blenden Sie eine Zeile ein, um die Rohdaten anzuzeigen.
  • Filtern Sie Aktivitäten nach Typ, Aktion und mehr.

Sie können auch Prozesse aus dieser Liste zum Abstammungsbaum hinzufügen. Siehe Weitere Prozesse in der Abstammung anzeigen.

Weitere Prozesse in der Abstammung anzeigen

Auf dem Tab Aktivitäten in den Prozessdetails werden zusätzliche, zugehörige Prozesse angezeigt, die sich nicht in der direkten Bedrohungsabstammung befinden.

Sie können diese Prozesse zum Abstammungsbaum hinzufügen, um Bedrohungen besser untersuchen zu können.

  1. Klicken Sie auf einen Prozess und öffnen Sie den zugehörigen Tab Aktivitäten.
  2. Suchen Sie in der Liste der Aktivitäten nach einem zugehörigen Prozess, den Sie anzeigen möchten.

  3. Klicken Sie auf das Augensymbol neben dem Prozess, um ihn anzuzeigen. Klicken Sie erneut auf das Symbol, um den Prozess auszublenden.

    Das Augensymbol.

Abstammung exportieren

Um die Abstammungsdaten in eine CSV-Datei zu exportieren, klicken Sie auf das Symbol „Exportieren“.

Export-Symbol.

Wenn beim Export ein Fehler auftritt, wählen Sie einen der Prozesse im Diagramm aus und versuchen Sie den Export von dort aus.

Abstammung durchsuchen

Um die Abstammung zu durchsuchen, geben Sie einen Begriff in die Suchleiste oben links auf der Seite ein.

Die passenden Ergebnisse werden in den Tabs Infos, Aktivitäten und Passende Ergebnisse angezeigt.