Die Seite "Incident Details" liefert ausführliche Informationen über einen Vorfall. Sie können auch Aktionen für Entitäten auf dieser Seite durchführen.

Aufrufen der Seite "Incident Details"

  1. Klicken Sie in EDR appliance console auf "Incident Manager".

  2. Klicken Sie auf eine Vorfall-ID, die entsprechende Seite "Incident Details" zu öffnen.

Klicken Sie auf einen der folgenden Links, um weitere Informationen zum entsprechenden Abschnitt der Seite "Incident Details" anzuzeigen.

Overview (Überblick) | Diagramm "Incident" | Aktionen | Ereignisse | Process Lineage | Intelligence | Fehlerbehebung

Overview (Überblick)

Eine eindeutige Vorfallnummer wird dem Vorfall zugewiesen. Auf die Vorfallnummer folgt eine kurze Beschreibung des Vorfalls. Unter der Beschreibung werden Symantecs empfohlene Aktionen zum Beheben des Vorfalls angezeigt.

Der Überblick enthält auch folgende Informationen zum Vorfall:

PRIORITY (Priorität)

Die Priorität, die diesem Vorfall zugewiesen ist, basiert auf Symantec Endpoint Detection and Responses Bewertung des Schweregrads.

Vorfälle mit Ereignissen, die Symantec als Teil eines gezielten Angriffs bekannt sind, erhalten eine höhere Priorität als Vorfälle ohne solche Ereignisse. Vorfälle mit einer großen Anzahl Ereignissen erhalten eine höhere Priorität als solche mit wenigen. Vorfälle mit jüngeren Ereignissen erhalten eine höhere Priorität als solche mit älteren Vorfällen.

Folgende Prioritäten sind verfügbar:

  • High (Hoch): Symantec EDR erkannte eine Bedrohung, die Symantec als bösartig klassifiziert. Die Bedrohung wurde nicht blockiert, weil das Gerät im Tap-Modus ausgeführt wird. Vorfälle mit hoher Priorität können zu Ausfällen oder Datenverlust führen bzw. das Unternehmen schwer beeinträchtigen und müssen sofort behoben werden.

  • Medium (Mittel): Die Appliance erkannte eine Bedrohung mit geringem Risiko, wie zum Beispiel eine nicht blockierte Adware. Vorfälle mit mittlerer Priorität beeinträchtigen möglicherweise das Unternehmen und den betroffenen Computer.

  • Low (Niedrig): Der Vorfall wird zu diesem Zeitpunkt nicht als ernste Bedrohung eingestuft. Vorfälle mit niedriger Priorität beeinträchtigen den Betrieb nicht. Die Computer funktionieren wie gewohnt.

Suspected Breach (Verdacht auf Verletzung)

Ob Symantec EDR den Vorfall als Sicherheitsverletzung ansieht. Diese Vorfälle können beliebige der folgenden Vorfallsregeln enthalten: gezielter Angriff, gezielter E-Mail-Angriff, Analyse gezielter Angriffe oder Dynamic Adversary Intelligence.

Affected Endpoints (Betroffene Endgeräte)

Die Anzahl von Endgeräten in der Umgebung, die durch diesen Vorfall betroffen sind.

Network Scanner (Netzwerkscanner)

Der Symantec EDR Scanner, der diesen Vorfall erkannte.

Wenn mehrere Scanner den Vorfall erkannt haben, wird die Anzahl dieser Scanner angezeigt. Zeigen Sie mit der Maus auf dieses Feld, um alle Scanner anzuzeigen, die diesen Vorfall erkannt haben.

EVENT COUNT (Anzahl Ereignisse)

Die Anzahl der Ereignisse in diesem Vorfall.

Die Tabelle Ereignisse enthält eine Liste aller Ereignisse, die in diesem Vorfall enthalten sind.

Incident Status (Vorfallstatus)

Der aktuelle Status des Vorfalls.

  • Open (Offen): Der Vorfall wird als Bedrohung angesehen und wurde noch nicht behoben.

  • Closed (Geschlossen): Der Vorfall wurde behoben bzw. wird nicht als Bedrohung angesehen und wurde geschlossen.

FIRST SEEN (Erstes Auftreten)

Wann Symantec EDR das erste Ereignis in diesem Vorfall erkannte (Datum und Uhrzeit).

Last Seen (Letztes Auftreten)

Wann Symantec EDR das neueste Ereignis in diesem Vorfall erkannte (Datum und Uhrzeit).

LAST UPDATED (Zuletzt aktualisiert)

Das Datum, an dem das letzte Ereignis des Vorfalls auftrat.

Engage Symantec Incident Response (Symantec Incident Response hinzuziehen)

Hiermit können Sie beim Symantec Incident Response-Team Unterstützung anfordern, um einen kritischen Vorfall zu beheben. Diese Option wird nur angezeigt, wenn der Vorfall in die Kategorie "Targeted Attack" (Gezielter Angriff), Targeted Email Attack (Gezielter E-Mail-Angriff), "Dynamic Adversary Intelligence" oder "Breach Detection Service" (Verstoßerkennungsdienst) fällt.

Siehe Info zum Anfordern von Unterstützung vom Symantec Incident Response-Team für kritische Vorfälle.

Diagramm "Incident"

Das Vorfallsdiagramm zeigt Informationen an, die in der Tabelle " " darunter enthalten sind. Das Diagramm "Incident" zeigt die Beziehungen der Entitäten zueinander dar. Die kreisförmigen Elemente im Diagramm "Incident" werden als Knoten bezeichnet.

Grundlagen zum Diagramm "Incident":

  • Der primäre Knoten wird zuerst in der Mitte des Diagramms "Incident" angezeigt.

  • Knoten, die zum Vorfall gehören, sind etwas kleiner als der primäre Knoten, und eine durchgezogene Linie verbindet sie.

  • Erweiterungen eines Knotens, die nicht mit dem Vorfall verknüpft sind, werden durch gestrichelte Linien dargestellt.

Arbeiten mit dem Diagramm "Incident":

  • Zeigen Sie mit der Maus auf den Knoten, um Details anzuzeigen. Beispiel: Das Zeigen auf den Domänenentitätsknoten gibt den Domänennamen oder die IP-Adresse der Entität an.

  • Klicken Sie mit der rechten Maustaste auf einen Knoten, um ein Kontextmenü anzuzeigen, das entsprechende Aufgaben enthält.

  • Mit den Pfeiltasten können Sie die aktuelle Position im Diagramm "Incident" verschieben. Mit dem Mausrad können Sie die Ansicht vergrößern oder verkleinern.

  • Sie können auch Knoten mit der Maus verschieben und neu anordnen. Doppelklicken Sie auf einen Knoten, um diesen Knoten in die Mitte zu verschieben.

  • Klicken Sie auf die Mitte des Mausrads, um das Diagramm "Incident" mit dem primären Knoten in der Mitte neu zu zentrieren.

Hinweis:

Wenn Sie die Seite neu laden oder eine andere Seite aufrufen und dann zu dieser Seite zurückkehren, wird das Diagramm im ursprünglichen Zustand angezeigt.

Siehe Symantec EDR-Entitätsgrafiken.

Aktionen

Tabelle: 

Aktion

Beschreibung

Full Dump (Vollständiger Speicherauszug)

Ermöglicht das Abrufen von Endpoint Activity Recorder-Informationen für die Endgeräte, die Sie angeben.

Diese Aktion wird nur für die Endgeräte angezeigt, die bei ECC angemeldet wurden und für die Endpoint Activity Recorder aktiviert sind.

Siehe Abrufen der Informationen von Endpoint Activity Recorder.

Prozesssicherung

Ermöglicht das Abrufen von Endpoint Activity Recorder-Informationen für den Datei-/Endgeräteprozess für den Dateihash und die Endgeräte, die Sie angeben.

Diese Aktion wird nur für die Endgeräte angezeigt, die bei ECC angemeldet wurden und für die Endpoint Activity Recorder aktiviert sind.

Siehe Abrufen der Informationen von Endpoint Activity Recorder.

Add to Blacklist (Der Blackliste hinzufügen)

Fügt das Element der Blackliste von Symantec EDR hinzu.

Siehe Info zu Blacklisten-Richtlinien.

Siehe Wie Symantec EDR Blacklisten-Richtlinien basierend auf dem Betriebsmodus anwendet.

Add to Whitelist (Der Positivliste hinzufügen)

Fügt das Element der Positivliste von Symantec EDR hinzu.

Siehe Infos zu Positivlisten-Richtlinien.

Rejoin (Wiederherstellen)

Stellt ein isoliertes Endgerät im Netzwerk wieder her.

Wird nur für SEP 12.1 RU6 und höher unterstützt.

Siehe Isolieren beeinträchtigter Endgeräte.

Fehlerbehebung

Isolate (Isolieren)

Isoliert ein Endgerät (verschiebt es in die Quarantäne).

Wird nur für SEP 12.1 RU6 und höher unterstützt.

Siehe Isolieren beeinträchtigter Endgeräte.

Fehlerbehebung

Delete File (Datei löschen)

Löscht eine Datei vom Endgerät.

Diese Aktion wird unterstützt für angemeldete und nicht angemeldete Clients mit SEP 12.x RU6 MP3 und höher. Für angemeldete Clients mit SEP 14.0 RU1 und höher wird diese Aufgabe über ECC 2.0 direkt von Symantec EDR ausgeführt, ohne dass auf den SEPM-Heartbeat gewartet werden muss. Für angemeldete Clients mit ECC 1.0 bleibt diese Option aktiv, bis die Datei über SEPM vom Endgerät gelöscht wird. Dann wird die Option für diese Datei inaktiv.

Die Funktion, eine Löschaktion abzubrechen, wird in SEP 12.1 RU6 MPX und höher unterstützt und ist nur bei Verwendung der API möglich. Beim Abbrechen der Aktion "Delete File" (Datei löschen) wird auch das Löschen der zugehörigen Registrierungseinträge abgebrochen.

Siehe Löschen von Dateien aus Endgeräten.

Comment (Kommentar)

Hier können Sie einen Kommentar mit maximal 512 Zeichen hinzufügen.

Hinweis:

Erweiterte ASCII-Zeichen werden nicht ordnungsgemäß im CSV-Format gerendert.

Siehe Kommentieren von Vorfällen.

Close (Schließen)

Diese Option wird nur angezeigt, wenn der Vorfall geöffnet ist.

Kennzeichnet den Vorfall als geschlossen.

Durch Schließen eines Vorfalls wird dieser nicht gelöscht. Wenn Sie einen Vorfall schließen, müssen Sie das Ergebnis angeben. Optional können Sie Kommentare hinzufügen.

Siehe Schließen eines Vorfalls.

Wenn Sie eine Aktion auswählen, wird ein Dialogfeld angezeigt, das alle Entitäten auflistet, auf die diese Aktion angewendet werden kann. Sie können die Auswahl beliebiger Entitäten im Dialogfeld aufheben, auf die diese Aktion nicht angewendet werden soll.

Nur Benutzer mit der Rolle "Administrator" oder "Controller" können Aktionen durchführen. Aktionen, die Sie in Ihrer Rolle nicht ausführen dürfen, werden in EDR appliance console als inaktiv angezeigt.

Siehe Anzeigen des Status von auf Entitäten ausgeführten Aktionen im Aktionsprotokoll.

Siehe Wie lange es dauert, bis Symantec EDR eine Aktion auf eine Entität durchführt

Ereignisse

Die Ansicht "Events Summary" (Ereignisübersicht) listet alle Ereignisse auf, die am Vorfall beteiligt waren, und die dazugehörigen Daten jedes Ereignisses. Klicken Sie auf den folgenden Link, um weitere Informationen zur Verwendung der Ansicht "Events Summary" (Ereignisübersicht) zu erhalten.

Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).

Siehe Suchfelder in Symantec EDR und deren Beschreibungen.

Process Lineage

Die Registerkarte "Process Lineage" (Prozessherkunft) zeigt die chronologische Reihenfolge der übergeordneten Herkunft. Informationen zur Prozessherkunft beschränken sich auf PowerShell-bezogene Vorfälle. Diese Registerkarte zeigt den Ursprung des Angriffs und die anderen Prozesse, die mit dem Angriff verbunden sind.

Sie müssen den Endpoint Activity Recorder so konfigurieren, dass Symantec EDR-Ereignisse vom Typ "Process launch activity" (Prozessstartaktivität) gesendet werden, damit Symantec EDR Prozessherkunftsereignisse abruft.

Siehe Konfigurieren des Endpoint Activity Recorder.

Die übergeordnete Herkunft besteht aus den Prozessen, die zum auslösenden Ereignis geführt haben. Das auslösende Ereignis ist das Prozessereignis, das Symantec EDR dazu veranlasst hat, einen Vorfall zu erstellen. Ein Vorfall kann mehr als ein auslösendes Ereignis enthalten. Nach dem Eintreten des auslösenden Ereignisses zeigt die untergeordnete Herkunft, welche Vorgänge der Prozess ausgeführt hat. Die untergeordnete Herkunft sind die Prozesse, die als Ergebnis der übergeordneten Prozesse aufgetreten sind. Symantec EDR fragt die übergeordnete Herkunft sofort ab und fügt sie hinzu, aber Sie müssen die untergeordnete Herkunft manuell aktualisieren.

Wenn innerhalb eines Vorfalls mehrere Herkünfte vorhanden sind, enthält die Ereignisübersicht standardmäßig Ereignisse aus allen Herkünften. Anfänglich sind mehrere auslösende Ereignisse vorhanden. Um eine bestimmte Herkunft anzuzeigen, filtern Sie die Ansicht "Events Summary" (Ereignisübersicht)" nach dem Parameter "lineage_id".

Klicken Sie auf "Update Lineage" (Herkunft aktualisieren), um die Herkunft seit dem auslösenden Ereignis zu aktualisieren.

Um die in der Ansicht "Events Summary" (Ereignisübersicht) angezeigten Ereignisse im CSV-Format zu exportieren, klicken Sie neben dem Dropdown-Pfeil "n Event" (Ereignis) auf "Export".

Klicken Sie auf den folgenden Link, um mehr über das Hinzufügen von Filtern und das Durchführen von Suchvorgängen zu erfahren und weitere wichtige Informationen zum Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht) zu erhalten.

Siehe Beispiel zur Prozessherkunft.

Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).

Intelligence

Die Registerkarte "Intelligence" (Informationen) zeigt Informationen über den Angreifer an, der mit dem Vorfall verknüpft ist. Diese Registerkarte ist nur für den Vorfall verfügbar, den Symantec EDR beim Import von Daten aus dem Dynamic Adversary Intelligence-Feed (DAI) erstellt hat.

Siehe Info zu Dynamic Adversary Intelligence.

Diese Informationen umfassen Folgendes:

Abschnitt

Beschreibung

Adversary Intelligence

  • Adversary Name (Angreifername)

    Der Name des Angreifers, von dem der gezielte Angriff ausging.

  • Executive Summary (Zusammenfassende Übersicht)

    Eine Übersicht auf hoher Ebene der Angreiferaktivitäten.

  • Aliases

    Weitere Namen, unter denen der Angreifer bekannt ist.

  • Attack Vectors (Angriffsvektoren)

    Die Methoden, mit denen sich der Angreifer gezielt Zugang zu seinen Opfern verschaffen konnte (z. B. E-Mail, Watering-Hole-Angriff, Datenspeichergerät).

  • CVEs Used (Verwendete CVEs)

    Eine Liste öffentlicher CVE-Werte (Common Vulnerability and Exposure), die vom Angreifer verwendet werden.

  • Malware Families Used (Verwendete Malware-Familien)

    Die Malware-Familien, die bei dem gezielten Angriff verwendet wurden.

  • First Seen (Erstes Auftreten)

    Das Datum, an dem Symantec den Angreifer zuerst erkannte.

  • Adversary Motivations (Absichten des Angreifers)

    Die Einschätzung des Analytikers, welche Absichten der Angreifer haben könnte (Datenbeschaffung, Geld, Störung).

  • Adversary Locations (Angreiferstandorte)

    Die Länder, in denen der Angreifer nach Mutmaßung der Analytiker agiert.

References (Referenzen)

Online-Veröffentlichungen von Drittanbietern (zum Beispiel Whitepapers, Artikel, Blogs usw.) zum Angreifer.

  • Date (Datum)

    Das Datum, an dem die Referenz veröffentlicht wurde.

  • Source URL (Quell-URL)

    Die URL der Referenz.

  • Beschreibung

    Der Titel der Referenz.

  • Übersicht

    Eine kurze Übersicht der Referenz.

Hinweis:

Dieser Abschnitt enthält auch den folgenden Kommentar:

The following information is provided for reference purposes only. Diese URL kann auf die Website eines anderen Herstellers verweisen, auf die Symantec keinen Einfluss hat. Symantec does not endorse, and is not responsible for, any content that is contained on third-party websites. (Die folgenden Informationen dienen nur zu Referenzzwecken. Bei Verwendung der URL können Sie auf eine Drittanbieter-Website weitergeleitet werden, die nicht zu Symantec gehört bzw. nicht von Symantec kontrolliert wird. Symantec empfiehlt keine Inhalte von Drittanbieter-Websites und ist dafür auch nicht verantwortlich.)

Indicators Of Compromise - Datei

Der Name des SHA256-Hash und der Malware der vom Angreifer verwendeten bösartigen Datei(en).

Indicators of Compromise - Netzwerk

Name, URL, IP-Adresse, Malwarename sowie Datum und Uhrzeit der ersten Erkennung der bösartigen Website, die vom Angreifer verwendet wurde.

Siehe Anzeigen von Vorfällen in Incident Manager

Siehe Wie Symantec EDR Vorfälle erstellt und nach Priorität ordnet

Siehe Anzeigen von detaillierten Informationen zu einer Datei

Siehe Anzeigen von ausführlichen Informationen zu einem Endgerät

Siehe Anzeigen von ausführlichen Informationen über eine Domäne

Fehlerbehebung

Weitere Informationen finden Sie unter Mehrere Endgeräte werden in Symantec EDR für denselben Hostnamen bzw. dieselbe IP-Adresse angezeigt.

Weitere Informationen finden Sie unter Fehler bei der Endgeräteisolierung.

Befindet sich ein Endgerät unter einer Arbeitsgruppe, deren Name länger als 15 Zeichen ist, wird der Hostname zweimal gemeldet: einmal mit einem kurzen Hostnamen von 15 Zeichen und einmal mit dem vollständigen Namen. Dasselbe Endgerät wird also möglicherweise zweimal angezeigt - einmal für jeden gemeldeten Hostnamen. Dies liegt an den Einschränkungen von NetBIOS. Weitere Informationen finden Sie unter: https://support.microsoft.com/de-de/kb/909264

Legacy ID: v113951644_v128921691

Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)

    © 1995-2019 Symantec Corporation