Wöchentliche und monatliche MDR-Berichte
Machen Sie sich mit Ihren wöchentlichen und monatlichen Verwaltungseinheits-Berichten über MDR-Aktivitäten vertraut.
Zusammenfassung der Verwaltungseinheiten
Der Abschnitt „Zusammenfassung der Verwaltungseinheiten“ enthält Informationen über die Gesamtzahl der Verwaltungseinheiten, die ausgewählten Reaktions-Optionen, die Verwaltungseinheiten, die Integrationen verwenden, und den Konto-Integritätswert.
Reaktions-Optionen
„Reaktions-Optionen“ zeigt die Anzahl der Verwaltungseinheiten für jede Reaktions-Option an.
Anzahl von Verwaltungseinheiten mit Integrationen
„Anzahl von Verwaltungseinheiten mit Integrationen“ zeigt die Anzahl der Verwaltungseinheiten mit aktivierten Integrationen an, die aktiv Daten senden. Wenn die Integration nicht aktiviert ist, wird die Verwaltungseinheit in diesem Abschnitt nicht gezählt.
Konto-Integritätswert
Ihr Konto-Integritätswert zeigt die Anzahl der Verwaltungseinheiten mit ihrem Gesamt-Integritätswert in einem bestimmten Wertbereich an. Dieser Wert gibt an, ob Ihre Geräte oder Richtlinien empfohlene, sichere Einstellungen verwenden. Zudem zeigt er die niedrigsten Werte aller Ihrer Integritätsprüfungen an.
Im Rahmen der Sophos-Kontosicherheitsprüfung empfehlen wir Ihnen beispielsweise, Anti-Exploit-Funktionen zum Schutz vor Zugangsdatendiebstahl und Rechteausweitung oder auch die Erkennung schädlichen Datenverkehrs zum Blockieren der Kommunikation mit Command-and-Control-Servern zu aktivieren. Mit der Kontosicherheitsprüfung verbessern Sie Ihren Sicherheitsstatus proaktiv und schließen Sicherheitslücken.
Erkennungen
Gibt die prozentuale Änderung bei Erkennungen an. Erkennungen sind technologiegenerierte Aktivitätsindikatoren, die auf der Grundlage ihres Bedrohungspotenzials gewichtet und klassifiziert werden. In den meisten Fällen sind diese Datenpunkte rein informativ und es wird kein gesonderter Fall erstellt. Zu den Erkennungen gehören häufig Elemente wie Befehlsausführungen, offene Netzwerksockets, Authentifizierungs-Ereignisse und laufende Anwendungen.
Fälle
Gibt die prozentuale Änderung bei Fällen an. Unabhängig davon, ob es sich um eine erkennungsgesteuerte oder manuell erstellte Erkennung handelt, werden Fälle untersucht, um festzustellen, ob es sich um eine echte Bedrohung handelt und ob schädliche Aktivitäten stattfinden.
Eskalationen
Gibt die prozentuale Änderung bei Fällen an, für die eine Eingabe oder Aktion einer Verwaltungseinheit erforderlich ist, die nicht von MDR Ops allein ausgeführt werden kann.
Aktive Bedrohungen
Gibt die prozentuale Änderung bei aktiven Bedrohungen an. Aktive Bedrohungen sind bestätigte Indikatoren für Angriffe (IoA) oder Kompromittierungen (IoC), die innerhalb des Netzwerks einer Verwaltungseinheit beobachtet werden.
Verwaltungseinheiten mit den meisten bedrohungsbezogenen Erkennungen
Das MDR-Ops-Team optimiert unsere Erkennungsfunktionen kontinuierlich, wodurch das Erkennungs-Aufkommen von Bericht zu Bericht natürlichen Schwankungen unterliegen kann. Diese Anpassungen werden u. U. vorgenommen, um Erkennungen zu optimieren, die nur einen begrenzten Nutzen bei der Identifizierung von Bedrohungen erbracht haben, oder um unseren Aktionsradius und unsere Transparenz zu erweitern, damit wir neue und aufkommende Bedrohungen noch besser erkennen können.
Dieser Abschnitt bietet einen Einblick in die Erkennungsgenerierung der Verwaltungseinheiten mit den meisten bedrohungsbezogenen Erkennungen im Verlauf eines Monats oder einer Woche. Dies hilft dem MDR-Ops-Team dabei, Wendepunkte potenzieller Angriffsaktivitäten zu identifizieren.
Zusammenfassung der Erkennungen nach Kategorie
MDR-Erkennungen werden in übergeordnete Kategorien eingeteilt, damit Sie einen Gesamtüberblick über die in Ihrem Netzwerk beobachteten Erkennungstypen erhalten. Beispiele hierfür sind gängige Angriffstools, PowerShell-Ausführungen und Persistenz. Nicht alle Erkennungen weisen auf verdächtige oder schädliche Aktivitäten hin. Einige könnten mit unbedenklichen Daten in Zusammenhang stehen, die erhoben wurden.
MITRE ATT&CK Framework
MDR-Erkennungen werden spezifischen Techniken im MITRE ATT&CK Framework zugeordnet, eine etablierte Wissensdatenbank über Verhaltensweisen von Angreifern, die auf realen Beobachtungen basiert. In diesem Abschnitt des Wochen- oder Monatsberichts sehen Sie die Aufschlüsselung der Erkennungen nach Prozentsatz.
Nicht alle Erkennungen sind Indikatoren für schädliche Aktivitäten und auch unbedenkliche Verhaltensweisen können im Zusammenhang mit bestimmten Angriffstaktiken und -techniken beobachtet werden. Außerdem stimmt die Gesamtzahl der MDR-Fälle möglicherweise nicht mit der Gesamtzahl der beobachteten Angriffstaktiken überein. Dies kann vor allem aus zwei Gründen geschehen:
- Ein einzelner MDR-Fall kann mehrere Angriffstaktiken beinhalten, wodurch die Gesamtzahl der Taktiken größer ist als die Anzahl der Fälle.
- Einige MDR-Fälle, z. B. Health Check-Fälle, beinhalten möglicherweise keine Angriffstaktiken, was zu mehr Fällen als zu beobachtenden Taktiken führt.
Status der Verwaltungseinheiten
Der Abschnitt „Status der Verwaltungseinheiten“ enthält eine statistische Zusammenfassung der wöchentlichen oder monatlichen MDR-Aktivitätsberichte für jede Verwaltungseinheit.