Symantec Endpoint Detection and Response zeigt ausführliche Informationen auf der Detailseite für eine Domäne an, die an einem Vorfall beteiligt ist. Dies sind alle Informationen zur Domäne, die von Symantec EDR erkannt wurden. Weiterhin wird die Beziehung zu anderen Entitäten in Ihrer Umgebung beschrieben und eine Liste von anderen Ereignissen, an denen die Domäne beteiligt war, wird angezeigt. Sie können auch Aktionen für die Domäne von dieser Seite aus durchführen.

So zeigen Sie ausführliche Informationen zu einer Domäne an

  • Sie haben folgende Möglichkeiten:

    • Klicken Sie in der EDR cloud console auf "Tasks" (Aufgaben) und dann auf einen Vorfall, um die Seite mit Aufgabendetails anzuzeigen. Klicken Sie auf der Registerkarte "Events" (Ereignisse) auf den Domäne-Hyperlink, um die Detailseite aufzurufen.

    • Klicken Sie in der EDR appliance console auf "Incident Manager". Wählen Sie einen Vorfall aus, um die Detailseite "Incidents" (Vorfälle) aufzurufen. Sie haben folgende Möglichkeiten:

      • Klicken Sie im Diagramm "Incident" mit der rechten Maustaste auf den Domänenentitätsknoten und wählen Sie "Go to details page" (Detailseite aufrufen).

      • Klicken Sie auf der Registerkarte "Events" auf den Domäne-Hyperlink, um die Detailseite aufzurufen.

      • Sie können in der EDR appliance console überall dort auf das interaktive Domänensymbol klicken, wo es angezeigt wird, um die Detailseite dieser Domäne aufzurufen.

Klicken Sie auf einen der folgenden Links, um weitere Informationen zum entsprechenden Abschnitt der Seite "Domain Details" anzuzeigen.

Overview (Überblick) | Aktionen | Details | Related Events (Zugehörige Ereignisse)

Overview (Überblick)

Es wird der Domänenname (wenn verfügbar), die URL oder die IP-Adresse des externen Computers angezeigt, der mit dem Vorfall verknüpft ist. Die Grafik unter dem Domänennamen zeigt den Zustand dieser Domäne.

Good (Gut)

Verdächtig

Bad (Schlecht)

Unbekannt

Unter der Entität werden folgende Informationen zur Domäne anhand der Bewertung von DeepSight Intelligence angezeigt:

DISPOSITION (Zustand)

Die Bewertung der Domäne von Symantec EDR.

  • Good (Gut)

    Die Domäne oder die IP-Adresse steht in der Positivliste.

  • Verdächtig

    Bösartige Aktivitäten wurden vor über einer Woche auf dieser Domäne bzw. IP-Adresse erkannt. In letzter Zeit wurden jedoch keine bösartigen Aktivitäten erkannt.

  • Bad (Schlecht)

    Bösartige Aktivitäten wurden in den letzten 24 Stunden auf dieser Domäne bzw. IP-Adresse erkannt.

  • Unbekannt

    Die verfügbaren Informationen reichen zum Bestimmen des Zustands der Domäne durch Symantec EDR nicht aus.

Reputation

Die Reputationsbewertung der Domäne.

Wertbereich: 1-10, wobei 10 die schlechteste Reputation ist.

HOSTILITY (Feindseligkeit)

Dieser Wert wird anhand der Aktivitätshäufigkeit berechnet.

Wertbereich: 1-5, wobei 5 am bösartigsten ist.

CONFIDENCE (Vertrauen)

Symantecs Vertrauen an der Gültigkeit der Informationen.

Wertbereich: 1-5, wobei 5 das höchste Vertrauen ist.

BEHAVIOR (Verhalten)

Das von DeepSight beobachtete Verhalten der Domäne. Mögliche Werte: Attack, Command and Control, Fraud, Phishing und URL Malware.

Der Überblick enthält auch die folgende Informationen über die Domäne:

FIRST ACCESSED INTERNALLY (Erster interner Aufruf)

Wann ein Endgerät zum ersten Mal in der Umgebung auf diesen externen Computer zugegriffen hat.

LAST ACCESSED INTERNALLY (Letzter interner Aufruf)

Wann ein Endgerät zum letzten Mal in der Umgebung auf diesen externen Computer zugegriffen hat.

ENDPOINTS THAT ACCESSED DOMAIN (Endgeräte, die auf die Domäne zugriffen)

Die Anzahl Endgeräte in der Umgebung, die auf diesen externen Computer zugegriffen haben. Anweisungen zum Anzeigen einer Liste aller Endgeräte, die auf diesen externen Computer zugreifen, finden Sie unter "Endpoints that Communicated with this External Machine" (Endgeräte, die mit diesem externen Computer kommunizierten) in der Detailtabelle.

Number of File Downloads (Anzahl heruntergeladener Dateien)

Die Anzahl Dateien, die aus diesem externen Computer heruntergeladen wurden. Anweisungen zum Anzeigen einer Liste aller Dateien, die aus diesem externen Computer heruntergeladen wurden, finden Sie unter Files Downloaded (Heruntergeladene Dateien) in der Detailtabelle.

Last IP associated with Domain (Letzte mit dieser Domäne verknüpfte IP-Adresse)

Die letzte mit der Website verknüpfte IP-Adresse.

Ein externer Computer kann mit vielen IP-Adressen verknüpft sein. Dieses Feld gibt die zuletzt erstellte IP-Adresse an. Tipp : Eine IP-Adresse, die erst vor kurzem erstellt wurde, kann verdächtig sein.

DeepSight Intelligence

Created Date (Erstellt am)

Wann die Domäne ursprünglich registriert wurde.

UPDATED DATE (Aktualisiert am)

Wann die Domänenregistrierung zuletzt aktualisiert wurde.

PERSON

Das Unternehmen, das die Domäne registrierte, sowie dessen Administrator.

ORGANIZATION (Unternehmen)

Das Unternehmen, das die Domäne registrierte.

CITY (Ort)

Der Standort des Unternehmens, das die Domäne registrierte.

COUNTRY (Land)

Das Land des Unternehmens, das die Domäne registrierte.

Aktionen

Sie können die folgenden Aktionen auf externe Computern anwenden:

  • In Positivliste eintragen | Aus Positivliste entfernen

  • In Blackliste eintragen | Aus Blackliste entfernen

Siehe Eintragen verdächtiger Domänen, URLs und IP-Adressen in die Blackliste und Positivliste.

Siehe Wie Symantec EDR Blacklisten-Richtlinien basierend auf dem Betriebsmodus anwendet.

Nur Benutzer mit der Rolle "Administrator" oder "Controller" können Aktionen durchführen. Aktionen, die Sie in Ihrer Rolle nicht ausführen dürfen, werden in EDR appliance console als inaktiv angezeigt.

Siehe Anzeigen des Status von auf Entitäten ausgeführten Aktionen im Aktionsprotokoll.

Siehe Wie lange es dauert, bis Symantec EDR eine Aktion auf eine Entität durchführt

Details

Die Registerkarte "Details" liefert zusätzliche Informationen über die Entität. Wenn ein Abschnitt länger als fünf Zeilen ist, klicken Sie auf "{n} Total" (Gesamt), um die gesamte Liste anzuzeigen. Im gesamten Listendialogfeld können Sie auf eine beliebige Entität klicken, um ihre Detailseite anzuzeigen.

Related Incidents (Zugehörige Vorfälle)

Andere Vorfälle, mit denen dieser externe Computer verknüpft ist. Klicken Sie auf eine Zeile, um die Detailseite dieses Vorfalls zu öffnen.

Tipp : Sie sollten andere zugehörige Vorfälle auswerten, um festzustellen, ob dafür eine ähnliche Behebung erforderlich ist.

Siehe Anzeigen von ausführlichen Informationen über einen Vorfall.

Files Downloaded (Heruntergeladene Dateien)

Dateien und das Endgerät, auf das sie aus dem externen Computer heruntergeladen wurden. Diese Liste enthält absichtlich heruntergeladene Dateien und unbemerkte Downloads. Klicken Sie auf einen beliebigen Link (blau), um die entsprechende Detailseite der Datei aufzurufen.

Siehe Anzeigen von detaillierten Informationen zu einer Datei.

Endpoints that Communicated with this External Domain (Endgeräte, die mit dieser externen Domäne kommunizierten)

Andere Endgeräte im Unternehmen, die auf diesen externen Computer zugegriffen haben. Klicken Sie auf eine Zeile, um die Detailseite dieses Endgeräts zu öffnen.

Tipp : Wenn Sie befürchten, dass diese Endgeräte Ihr Netzwerk infizieren, sollten Sie sie isolieren, bis die Bedrohung behoben ist oder ein neues Image erstellt wurde.

Siehe Anzeigen von ausführlichen Informationen zu einem Endgerät .

Siehe Anzeigen von ausführlichen Informationen über eine Domäne.

Emails Associated with this Domain (Mit dieser Domäne verknüpfte E-Mails)

E-Mails, die aus dieser Domäne gesendet wurden.

IPs Associated with this Domain (Mit dieser Domäne verknüpfte IP-Adressen)

Die Liste aller IP-Adressen, die mit dem externen Computer verknüpft sind. Klicken Sie auf eine Zeile, um die Detailseite dieses externen Computers zu öffnen.

Tipp : Sie sollten diese IP-Adressen in die Blackliste eintragen, wenn Sie sie für verdächtig halten.

Siehe Eintragen verdächtiger Domänen, URLs und IP-Adressen in die Blackliste und Positivliste.

Malicious URLs Associated with this Domain (Mit dieser Domäne verknüpfte bösartige URLs)

Die Liste aller URLs, die mit dem externen Computer verknüpft sind. Klicken Sie auf eine Zeile, um die Detailseite dieses externen Computers zu öffnen.

Tipp : Sie sollten diese URLs in die Blackliste eintragen, wenn Sie sie für verdächtig halten.

Siehe Eintragen verdächtiger Domänen, URLs und IP-Adressen in die Blackliste und Positivliste.

Related Events (Zugehörige Ereignisse)

Die Registerkarte "Related Events" zeigt die Ereignisse für diese Entität in den letzten 7 Tagen. Klicken Sie auf den folgenden Link, um weitere Informationen zur Verwendung der Ansicht "Events Summary" (Ereignisübersicht) zu erhalten.

Siehe Arbeiten in der Ansicht "Events Summary" (Ereignisübersicht).

Siehe Typen-IDs der Ereignisübersicht.

Legacy ID: v114008896_v128921691

Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)

    © 1995-2020 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.