Zum Inhalt

Bedrohungsgraphen

Diese Funktion steht nur Kunden mit einer Intercept X-, Intercept X Advanced with XDR- oder Intercept X for Server with XDR-Lizenz zur Verfügung.

Mit Bedrohungsgraphen können Sie Malware-Angriffe untersuchen und bereinigen.

Sie können herausfinden, wo ein Angriff begonnen hat, wie er sich ausbreitete und welche Prozesse oder Dateien betroffen sind. Das hilft Ihnen, die Sicherheit zu verbessern.

Wenn Sie eine Intercept X Advanced with XDR oder Intercept X Advanced for Server with XDR-Lizenz haben, können Sie auch Folgendes:

  • Betroffene Geräte isolieren.
  • Nach weiteren Beispielen für die Bedrohung in Ihrem Netzwerk suchen.
  • Die Bedrohung bereinigen und blockieren.
  • Erhalten Sie weitere erweiterte Bedrohungsdaten.

Wir erstellen einen Bedrohungsgraphen für Sie, sobald wir Malware entdecken, die Sie weiter untersuchen müssen.

Einschränkung

Diese Funktion ist derzeit nur für Windows- und Mac-Geräten verfügbar.

Einschränkung

Die Erkennung potenziell unerwünschter Anwendungen durch Deep Learning (ML PUAs) erzeugt keine Bedrohungsdiagramme. Sie können jedoch die Abfrage Threat Hunting in Live Discover verwenden, um Ihre Geräte nach dem gemeldeten Dateinamen oder dem SHA-256-Hash-Wert zu durchsuchen.

Hinweise zum Untersuchen und Bereinigen von Bedrohungen

Dies ist ein Überblick, wie Sie normalerweise einen Graphen untersuchen. Für Details zu allen Optionen siehe Analyse des Bedrohungsgraphen.

Einige Optionen sind nur verfügbar, wenn Sie eine Intercept X Advanced with XDR- oder Intercept X for Server with XDR-Lizenz haben. Wir haben diese mit „Erfordert XDR“ gekennzeichnet.

  1. Gehen Sie zum Bedrohungsanalyse-Center, klicken Sie auf Bedrohungsgraphen und dann auf einen Graphen.

    Dies zeigt die Detailseite zum jeweiligen Graphen an.

  2. Unter Übersicht können Sie sehen, wo der Angriff gestartet wurde und welche Dateien betroffen sein könnten.

  3. Sehen Sie sich Empfohlene nächste Schritte an. Sie können die Priorität des Graphen ändern und feststellen, welche Prozesse untersucht werden sollen.

    Wenn es sich um einen Graphen mit hoher Priorität handelt, können Sie auf Dieses Gerät isolieren klicken (erfordert XDR). Das betroffene Gerät wird vom Netzwerk isoliert. Sie können das Gerät weiterhin von Sophos Central aus verwalten.

    Hinweis

    Sie sehen diese Option nicht, wenn sich das Gerät automatisch isoliert hat.

  4. Auf der Registerkarte Analysieren wird ein Diagramm angezeigt, das den Fortschritt des Angriffs zeigt. Durch Klicken auf Elemente werden weitere Details angezeigt.

  5. Klicken Sie auf die Grundursache oder einen anderen Prozess, um die Details anzuzeigen.
  6. Um sicherzustellen, dass Sie über die neuesten Analysen von Sophos verfügen, klicken Sie auf Aktuellste Daten anfordern (erfordert XDR).

    Dadurch werden Dateien zur Analyse an Sophos gesendet. Wenn wir neue Informationen über die Reputation und Verbreitung der Datei haben, werden Sie sie in wenigen Minuten hier angezeigt.

    Einschränkung

    Wenn Sie über XDR verwenden, sehen Sie eine Analyse mit erweiterten Funktionen. Weiter Informationen hierzu finden Sie unter Prozessdaten. Sie können auch weitere Erkennungen und Bereinigungen durchführen, wie in den folgenden Schritten gezeigt.

  7. Klicken Sie auf Nach Element suchen (erfordert XDR), um nach weiteren Vorkommen der Datei in Ihrem Netzwerk zu suchen.

    Wenn auf der Seite Ergebnisse der Elementsuche weitere Vorkommen der Datei angezeigt werden, können Sie dort auf Gerät isolieren klicken, um betroffene Geräte zu isolieren.

  8. Kehren Sie zur Detailseite für Bedrohungsgraphen zurück und sehen Sie sich die neuesten Bedrohungsinformationen an.

  9. Wenn Sie sicher sind, dass die Datei schädlich ist, klicken Sie auf Entfernen und blockieren (erfordert XDR).

    Dadurch wird das Element auf den Windows-Geräten, auf denen es gefunden wurde, bereinigt und auf allen Windows-Geräten blockiert. Siehe Blockierte Elemente.

  10. Wenn Sie sicher sind, dass Sie mit der Bedrohung fertig geworden sind, können Sie das Gerät aus der Isolation entfernen (falls erforderlich). Gehen Sie zu Empfohlene nächste Schritte und klicken Sie auf Aus der Isolation entfernen.

    Wenn Sie mehrere Geräte isoliert haben, gehen Sie zu Einstellungen > Vom Administrator isolierte Geräte und entfernen Sie diese aus der Isolation. Siehe Vom Administrator isolierte Geräte.

  11. Gehen Sie zurück zur Liste Bedrohungsgraphen, wählen Sie den Graphen aus und klicken Sie auf Schließen.

Die Liste der Bedrohungsgraphen

In Bedrohungsgraphen werden alle Bedrohungsgraphen der letzten 90 Tage aufgelistet.

Wenn Sie eine MDR-Lizenz haben, ist die Seite in Tabs für Bedrohungsgraphen unterteilt, die wie folgt angelegt wurden:

  • Automatisch von Sophos angelegt.
  • Von einem Sophos-Central-Admin angelegt. Siehe Vom Admin erzeugte Bedrohungsgraphen.
  • Vom Sophos-Team für Managed Detection and Response (MDR) angelegt. Dies wird derzeit nicht verwendet.

Wenn Sie keine MDR-Lizenz haben, wird die Seite nicht in Tabs unterteilt.

Sie können die Graphen nach Gerät, Status oder Priorität filtern.

Sie können die Suche verwenden, um die Graphen für einen bestimmten Benutzer, ein bestimmtes Gerät oder einen Bedrohungsnamen (z. B. „Troj/Agent-AJWL“) anzuzeigen.

In der Liste werden für jeden Graphen die meisten der folgenden Informationen angezeigt. Welche Spalten angezeigt werden, hängt davon ab, ob die Seite in Tabs aufgeteilt ist:

  • Status: Standardmäßig wird der Status auf Neu gesetzt. Sie können diese ändern, wenn Sie den Graphen aufrufen.
  • Erstellt um: Uhrzeit und Datum, wann der Graph angelegt wurde.
  • Priorität: Die Priorität wird festgelegt, wenn der Graph angelegt wird. Sie können diese ändern, wenn Sie den Graphen aufrufen.
  • Name: Klicken Sie auf den Namen der Bedrohung, um Details des Graphen anzuzeigen.
  • Generiert von: Der Sophos-Central-Admin, der den Bedrohungsgraphen angelegt hat.
  • Benutzer: Der Benutzers, der die Infektion verursacht hat.
  • Gerät: Das Gerät, das die Infektion verursacht hat.
  • Gerätetyp: Der Typ des Geräts, zum Beispiel Computer oder Server.

Sie können auf eine beliebige Spalte klicken, um die Graphen zu sortieren.

Vom Admin erzeugte Bedrohungsgraphen

Wir erstellen automatisch einen Bedrohungsgraphen für Sie, sobald wir Malware entdecken, die Sie weiter untersuchen müssen. Sie können jedoch auch manuell einen Bedrohungsgraphen erstellen.

Sie können aus den Ergebnissen der Live-Discover-Abfrage einen Graphen erzeugen. Die Option ist nicht für alle Abfragen verfügbar.

Die folgenden Anweisungen sind nur ein Beispiel.

So erstellen Sie einen Bedrohungsgraph:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Live Discover.
  2. Öffnen Sie in Live Discover den Abschnitt Abfrage (falls noch nicht geöffnet).
  3. Wählen Sie eine Kategorie aus, zum Beispiel Dateien.
  4. Klicken Sie auf die Abfrage, die Sie ausführen möchten, zum Beispiel Datei-Hashes.
  5. Konfigurieren Sie Ihre Abfrage wie folgt:

    • Wenn Sie eine Endpoint-Abfrage ausgewählt haben, wählen Sie die Endpoints aus, die Sie abfragen möchten.
    • Wenn Sie eine Data-Lake-Abfrage ausgewählt haben, wählen Sie den Zeitraum aus, den Sie abfragen möchten. Alle Endpoints sind immer enthalten.
  6. Klicken Sie auf Abfrage ausführen.

    Die Ergebnisse werden angezeigt.

  7. Klicken Sie in den Ergebnissen auf die drei Punkte Symbol mit drei Punkten. neben dem Pfad der Datei.

  8. Klicken Sie unter Aktionen auf Einen Bedrohungsgraph erzeugen.

Der Bedrohungsgraph wird zum Tab Von Admin erzeugt auf der Seite Bedrohungsgraphen hinzugefügt.

Für weitere Informationen zu Live Discover siehe Live Discover.