Intelix-Berichte

SophosLabs Intelix analysiert verdächtige Dateien, die von Endpoint Anti-Malware an Sophos gesendet werden, automatisch. Sie können auf Berichte zu diesen Dateien von Erkennungen zugreifen, die in Sophos Central angezeigt werden.

Es gibt zwei Intelix-Berichtstypen, die auf verschiedenen Analyse-Methoden basieren:

• Statische Analyse nutzt maschinelles Lernen, Dateiscans und Reputation, um verdächtige Dateien zu bewerten.
• Dynamische Analyse führt verdächtige Dateien in einer Sandbox-Umgebung aus, um ihr Verhalten zu beobachten.

Um Berichte zu einer bestimmten erkannten Datei anzuzeigen, gehen Sie wie folgt vor:

1. Gehen Sie zu Bedrohungsanalyse-Center.

2. Klicken Sie auf Erkennungen.

   Alternativ können Sie Live Discover aufrufen und eine Abfrage ausführen, um Bedrohungen zu erkennen. Sie können auch auf Berichte aus diesen Erkennungen zugreifen.

3. Klicken Sie in der Liste Erkennungen auf einen Erkennung, um deren Details zu öffnen.

   

4. Gehen Sie zum Hash process_sha256 der Erkennung, und klicken Sie auf das Pivot-Symbol (drei Punkte) daneben.

   Derzeit können Sie nur aus dem SHA-256-Hash zu Intelix-Berichten wechseln.

   

5. Wählen Sie unter Anreicherungen den SophosLabs Intelix-Bericht aus.

   

6. Standardmäßig wird der statische Analyse-Bericht geöffnet. Dies zeigt ein Urteil über das Bedrohungsrisiko, das anhand verschiedener Analysen gemessen wurde.

   

7. Klicken Sie im linken Menü auf Dynamischer Analyse-Bericht. Wenn dieser Link nicht angezeigt wird, ist für diese Datei kein dynamischer Analyse-Bericht verfügbar.

   

   Der Bericht zeigt Folgendes an:

   • MITRE-Angriffstaktiken und -Techniken, die von der Bedrohung verwendet werden.
   • Prozesse, die ausgeführt wurden.
   • Netzwerkaktivität.