Die Seite "Incident Details" liefert ausführliche Informationen über einen Vorfall. Sie können auch Aktionen für Entitäten auf dieser Seite durchführen.
Aufrufen der Seite "Incident Details"
Klicken Sie in EDR appliance console auf "Incident Manager".
Klicken Sie auf eine Vorfall-ID, die entsprechende Seite "Incident Details" zu öffnen.
Klicken Sie auf einen der folgenden Links, um weitere Informationen zum entsprechenden Abschnitt der Seite "Incident Details" anzuzeigen.
Overview (Überblick) | Diagramm "Incident" | Aktionen | Ereignisse | Process Lineage | Intelligence | Fehlerbehebung
Eine eindeutige Vorfallnummer wird dem Vorfall zugewiesen. Auf die Vorfallnummer folgt eine kurze Beschreibung des Vorfalls. Unter der Beschreibung werden Symantecs empfohlene Aktionen zum Beheben des Vorfalls angezeigt.
Der Überblick enthält auch folgende Informationen zum Vorfall:
PRIORITY (Priorität) |
Die Priorität, die diesem Vorfall zugewiesen ist, basiert auf Symantec Endpoint Detection and Responses Bewertung des Schweregrads. Vorfälle mit Ereignissen, die Symantec als Teil eines gezielten Angriffs bekannt sind, erhalten eine höhere Priorität als Vorfälle ohne solche Ereignisse. Vorfälle mit einer großen Anzahl Ereignissen erhalten eine höhere Priorität als solche mit wenigen. Vorfälle mit jüngeren Ereignissen erhalten eine höhere Priorität als solche mit älteren Vorfällen. Folgende Prioritäten sind verfügbar:
|
Suspected Breach (Verdacht auf Verletzung) |
Ob Symantec EDR den Vorfall als Sicherheitsverletzung ansieht. Diese Vorfälle können beliebige der folgenden Vorfallsregeln enthalten: gezielter Angriff, gezielter E-Mail-Angriff, Analyse gezielter Angriffe oder Dynamic Adversary Intelligence. |
Affected Endpoints (Betroffene Endgeräte) |
Die Anzahl von Endgeräten in der Umgebung, die durch diesen Vorfall betroffen sind. |
Network Scanner (Netzwerkscanner) |
Der Symantec EDR Scanner, der diesen Vorfall erkannte. Wenn mehrere Scanner den Vorfall erkannt haben, wird die Anzahl dieser Scanner angezeigt. Zeigen Sie mit der Maus auf dieses Feld, um alle Scanner anzuzeigen, die diesen Vorfall erkannt haben. |
EVENT COUNT (Anzahl Ereignisse) |
Die Anzahl der Ereignisse in diesem Vorfall. Die Tabelle Ereignisse enthält eine Liste aller Ereignisse, die in diesem Vorfall enthalten sind. |
Incident Status (Vorfallstatus) |
|
FIRST SEEN (Erstes Auftreten) |
Wann Symantec EDR das erste Ereignis in diesem Vorfall erkannte (Datum und Uhrzeit). |
Last Seen (Letztes Auftreten) |
Wann Symantec EDR das neueste Ereignis in diesem Vorfall erkannte (Datum und Uhrzeit). |
LAST UPDATED (Zuletzt aktualisiert) |
Das Datum, an dem das letzte Ereignis des Vorfalls auftrat. |
Engage Symantec Incident Response (Symantec Incident Response hinzuziehen) |
Hiermit können Sie beim Symantec Incident Response-Team Unterstützung anfordern, um einen kritischen Vorfall zu beheben. Diese Option wird nur angezeigt, wenn der Vorfall in die Kategorie "Targeted Attack" (Gezielter Angriff), Targeted Email Attack (Gezielter E-Mail-Angriff), "Dynamic Adversary Intelligence" oder "Breach Detection Service" (Verstoßerkennungsdienst) fällt. Siehe Info zum Anfordern von Unterstützung vom Symantec Incident Response-Team für kritische Vorfälle. |
Das Vorfallsdiagramm zeigt Informationen an, die in der Tabelle " " darunter enthalten sind. Das Diagramm "Incident" zeigt die Beziehungen der Entitäten zueinander dar. Die kreisförmigen Elemente im Diagramm "Incident" werden als Knoten bezeichnet.
Grundlagen zum Diagramm "Incident":
Der primäre Knoten wird zuerst in der Mitte des Diagramms "Incident" angezeigt.
Knoten, die zum Vorfall gehören, sind etwas kleiner als der primäre Knoten, und eine durchgezogene Linie verbindet sie.
Erweiterungen eines Knotens, die nicht mit dem Vorfall verknüpft sind, werden durch gestrichelte Linien dargestellt.
Arbeiten mit dem Diagramm "Incident":
Zeigen Sie mit der Maus auf den Knoten, um Details anzuzeigen. Beispiel: Das Zeigen auf den Domänenentitätsknoten gibt den Domänennamen oder die IP-Adresse der Entität an.
Klicken Sie mit der rechten Maustaste auf einen Knoten, um ein Kontextmenü anzuzeigen, das entsprechende Aufgaben enthält.
Mit den Pfeiltasten können Sie die aktuelle Position im Diagramm "Incident" verschieben. Mit dem Mausrad können Sie die Ansicht vergrößern oder verkleinern.
Sie können auch Knoten mit der Maus verschieben und neu anordnen. Doppelklicken Sie auf einen Knoten, um diesen Knoten in die Mitte zu verschieben.
Klicken Sie auf die Mitte des Mausrads, um das Diagramm "Incident" mit dem primären Knoten in der Mitte neu zu zentrieren.
Hinweis: |
Wenn Sie die Seite neu laden oder eine andere Seite aufrufen und dann zu dieser Seite zurückkehren, wird das Diagramm im ursprünglichen Zustand angezeigt. |
Siehe Symantec EDR-Entitätsgrafiken.
Tabelle:
Aktion |
Beschreibung |
||
---|---|---|---|
Ermöglicht das Abrufen von Endpoint Activity Recorder-Informationen für die Endgeräte, die Sie angeben. Diese Aktion wird nur für die Endgeräte angezeigt, die bei ECC angemeldet wurden und für die Endpoint Activity Recorder aktiviert sind. Siehe Abrufen der Informationen von Endpoint Activity Recorder. |
|||
Ermöglicht das Abrufen von Endpoint Activity Recorder-Informationen für den Datei-/Endgeräteprozess für den Dateihash und die Endgeräte, die Sie angeben. Diese Aktion wird nur für die Endgeräte angezeigt, die bei ECC angemeldet wurden und für die Endpoint Activity Recorder aktiviert sind. Siehe Abrufen der Informationen von Endpoint Activity Recorder. |
|||
Fügt das Element der Blackliste von Symantec EDR hinzu. Siehe Info zu Blacklisten-Richtlinien. Siehe Wie Symantec EDR Blacklisten-Richtlinien basierend auf dem Betriebsmodus anwendet. |
|||
Fügt das Element der Positivliste von Symantec EDR hinzu. |
|||
Stellt ein isoliertes Endgerät im Netzwerk wieder her. Wird nur für SEP 12.1 RU6 und höher unterstützt. |
|||
Isoliert ein Endgerät (verschiebt es in die Quarantäne). Wird nur für SEP 12.1 RU6 und höher unterstützt. |
|||
Löscht eine Datei vom Endgerät. Diese Aktion wird unterstützt für angemeldete und nicht angemeldete Clients mit SEP 12.x RU6 MP3 und höher. Für angemeldete Clients mit SEP 14.0 RU1 und höher wird diese Aufgabe über ECC 2.0 direkt von Symantec EDR ausgeführt, ohne dass auf den SEPM-Heartbeat gewartet werden muss. Für angemeldete Clients mit ECC 1.0 bleibt diese Option aktiv, bis die Datei über SEPM vom Endgerät gelöscht wird. Dann wird die Option für diese Datei inaktiv. Die Funktion, eine Löschaktion abzubrechen, wird in SEP 12.1 RU6 MPX und höher unterstützt und ist nur bei Verwendung der API möglich. Beim Abbrechen der Aktion "Delete File" (Datei löschen) wird auch das Löschen der zugehörigen Registrierungseinträge abgebrochen. |
|||
Hier können Sie einen Kommentar mit maximal 512 Zeichen hinzufügen.
Siehe Kommentieren von Vorfällen. |
|||
Diese Option wird nur angezeigt, wenn der Vorfall geöffnet ist. |
Kennzeichnet den Vorfall als geschlossen. Durch Schließen eines Vorfalls wird dieser nicht gelöscht. Wenn Sie einen Vorfall schließen, müssen Sie das Ergebnis angeben. Optional können Sie Kommentare hinzufügen. Siehe Schließen eines Vorfalls. |
Wenn Sie eine Aktion auswählen, wird ein Dialogfeld angezeigt, das alle Entitäten auflistet, auf die diese Aktion angewendet werden kann. Sie können die Auswahl beliebiger Entitäten im Dialogfeld aufheben, auf die diese Aktion nicht angewendet werden soll.
Nur Benutzer mit der Rolle "Administrator" oder "Controller" können Aktionen durchführen. Aktionen, die Sie in Ihrer Rolle nicht ausführen dürfen, werden in EDR appliance console als inaktiv angezeigt.
Siehe Anzeigen des Status von auf Entitäten ausgeführten Aktionen im Aktionsprotokoll.
Siehe Wie lange es dauert, bis Symantec EDR eine Aktion auf eine Entität durchführt
Die Ansicht "Events Summary" (Ereignisübersicht) listet alle Ereignisse auf, die am Vorfall beteiligt waren, und die dazugehörigen Daten jedes Ereignisses. Klicken Sie auf den folgenden Link, um weitere Informationen zur Verwendung der Ansicht "Events Summary" (Ereignisübersicht) zu erhalten.
Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).
Siehe Suchfelder in Symantec EDR und deren Beschreibungen.
Die Registerkarte "Process Lineage" (Prozessherkunft) zeigt die chronologische Reihenfolge der übergeordneten Herkunft. Informationen zur Prozessherkunft beschränken sich auf PowerShell-bezogene Vorfälle. Diese Registerkarte zeigt den Ursprung des Angriffs und die anderen Prozesse, die mit dem Angriff verbunden sind.
Sie müssen den Endpoint Activity Recorder so konfigurieren, dass Symantec EDR-Ereignisse vom Typ "Process launch activity" (Prozessstartaktivität) gesendet werden, damit Symantec EDR Prozessherkunftsereignisse abruft.
Siehe Konfigurieren des Endpoint Activity Recorder.
Die übergeordnete Herkunft besteht aus den Prozessen, die zum auslösenden Ereignis geführt haben. Das auslösende Ereignis ist das Prozessereignis, das Symantec EDR dazu veranlasst hat, einen Vorfall zu erstellen. Ein Vorfall kann mehr als ein auslösendes Ereignis enthalten. Nach dem Eintreten des auslösenden Ereignisses zeigt die untergeordnete Herkunft, welche Vorgänge der Prozess ausgeführt hat. Die untergeordnete Herkunft sind die Prozesse, die als Ergebnis der übergeordneten Prozesse aufgetreten sind. Symantec EDR fragt die übergeordnete Herkunft sofort ab und fügt sie hinzu, aber Sie müssen die untergeordnete Herkunft manuell aktualisieren.
Wenn innerhalb eines Vorfalls mehrere Herkünfte vorhanden sind, enthält die Ereignisübersicht standardmäßig Ereignisse aus allen Herkünften. Anfänglich sind mehrere auslösende Ereignisse vorhanden. Um eine bestimmte Herkunft anzuzeigen, filtern Sie die Ansicht "Events Summary" (Ereignisübersicht)" nach dem Parameter "lineage_id".
Klicken Sie auf "Update Lineage" (Herkunft aktualisieren), um die Herkunft seit dem auslösenden Ereignis zu aktualisieren.
Um die in der Ansicht "Events Summary" (Ereignisübersicht) angezeigten Ereignisse im CSV-Format zu exportieren, klicken Sie neben dem Dropdown-Pfeil "n Event" (Ereignis) auf "Export".
Klicken Sie auf den folgenden Link, um mehr über das Hinzufügen von Filtern und das Durchführen von Suchvorgängen zu erfahren und weitere wichtige Informationen zum Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht) zu erhalten.
Siehe Beispiel zur Prozessherkunft.
Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).
Die Registerkarte "Intelligence" (Informationen) zeigt Informationen über den Angreifer an, der mit dem Vorfall verknüpft ist. Diese Registerkarte ist nur für den Vorfall verfügbar, den Symantec EDR beim Import von Daten aus dem Dynamic Adversary Intelligence-Feed (DAI) erstellt hat.
Siehe Info zu Dynamic Adversary Intelligence.
Diese Informationen umfassen Folgendes:
Siehe Anzeigen von Vorfällen in Incident Manager
Siehe Wie Symantec EDR Vorfälle erstellt und nach Priorität ordnet
Siehe Anzeigen von detaillierten Informationen zu einer Datei
Siehe Anzeigen von ausführlichen Informationen zu einem Endgerät
Siehe Anzeigen von ausführlichen Informationen über eine Domäne
Weitere Informationen finden Sie unter Mehrere Endgeräte werden in Symantec EDR für denselben Hostnamen bzw. dieselbe IP-Adresse angezeigt.
Weitere Informationen finden Sie unter Fehler bei der Endgeräteisolierung.
Befindet sich ein Endgerät unter einer Arbeitsgruppe, deren Name länger als 15 Zeichen ist, wird der Hostname zweimal gemeldet: einmal mit einem kurzen Hostnamen von 15 Zeichen und einmal mit dem vollständigen Namen. Dasselbe Endgerät wird also möglicherweise zweimal angezeigt - einmal für jeden gemeldeten Hostnamen. Dies liegt an den Einschränkungen von NetBIOS. Weitere Informationen finden Sie unter: https://support.microsoft.com/de-de/kb/909264
Wenn Sie einen Artikel abonnieren, erhalten Sie eine E-Mail, wenn dieser aktualisiert wird. Zum Login erforderlich.
This will clear the history and restart the chat.
Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)