Ansichten:

Erhalten Sie einen Überblick über die erkannten Netzwerkereignisse, die mit dem Zielknoten und den zugehörigen Objekten verbunden sind.

Der Übersicht zeigt die Schwere, die Anzahl der erkannten internen Hosts, die Anzahl der Indikatoren für Kompromittierung (IOCs) und Angriffsmuster an und bietet einen umfassenden Überblick über die bösartige Aktivität des korrelierten Ereignisses.
SummaryBlurred=603c5501-f165-4ed2-b47a-31e726d31182.png
Netzwerkanalyse-Zusammenfassung
Sie können die Zusammenfassungsdaten als CSV-Datei oder in einem druckerfreundlichen Format exportieren. Klicken Sie auf Exportieren und wählen Sie das gewünschte Format aus.
Hinweis
Hinweis
Wenn Sie einen erweiterten Filter im Korrelationsdiagramm angewendet haben, enthält der exportierte Bericht nur die gefilterten Informationen.
Die Zusammenfassung enthält verschiedene Details zur Netzwerkaktivität und bietet Maßnahmen, die Sie ergreifen können, um das Ereignis zu untersuchen.

Details
Beschreibung
Verfügbare Aktionen
Schweregrad
Die von der Netzwerk-Analyse dem Ereignis und den zugehörigen Korrelationen zugewiesene Schwere.
Netzwerkanalysen verwenden eine Reihe von Faktoren, um die Schwere zu bestimmen, einschließlich proprietärer Analysen.
-
Anzahl der Erkennungen interner Hosts und Kompromittierungsindikatoren
Die Anzahl der Hosts in Ihrem Netzwerk, die an dem Ereignis beteiligt sind, und die Anzahl der erkannten Indikatoren für Kompromittierung (IoCs)
Klicken Sie auf die Erkennungsnummer und dann auf Copy to clipboard (dddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=de-de=Low.png), um die Liste in Ihre Zwischenablage zu kopieren.
Angriffsmuster
Die erkannten Angriffsmuster für das in Workbench ausgewählte verdächtige Objekt.
Fahren Sie mit der Maus über ein Angriffsmuster, um im Überblick nur Aktivitäten hervorzuheben, die mit diesem Angriffsmuster zusammenhängen.
Aktivitätszusammenfassung
Die Aktivitätszusammenfassung ist nach Angriffsmuster organisiert und bietet die folgenden Informationen:
  • Protokolle, bei denen Aktivitäten erkannt wurden.
  • Hosts, die an verdächtigen oder bösartigen Aktivitäten beteiligt sind.
    Aktivität kann zwischen internen Hosts und externen Servern stattfinden oder laterale Aktivitäten zwischen internen Hosts umfassen.
    Interne Hosts werden durch die Netzwerkgruppenliste in Netzwerkressourcen definiert.
    Hinweis
    Hinweis
    • Um eine genaue Analyse der Korrelationsdaten bereitzustellen, konfigurieren Sie Ihr Netzwerkressourcenlisten.
    • Standardmäßig werden private Netzwerke als vertrauenswürdig angesehen und intern als vertrauenswürdig festgelegt. Sie müssen nur nicht-private Internetprotokoll- (IP-) Adressen zur Netzwerkgruppenliste hinzufügen.
  • Zusätzliche Hosts, die an der verdächtigen Aktivität teilgenommen haben.
  • Zusätzliche verdächtige Objekte beim Anzeigen von Korrelationsdaten für verdächtige Objekte.
Fahren Sie mit der Maus über das Detailsymbol (dddna_summary_ip_domain_button=GUID-45B7939C-DDB8-447B-8DEF-9F6055E5B75A=1=de-de=Low.png) für eine IP-Adresse oder Domain und wählen Sie eine der folgenden Aktionen aus:
  • Focus: Fokus auf das Element im Korrelationsdiagramm.
  • Copy to clipboard: Kopieren Sie den Wert in Ihre Zwischenablage.
  • Threat Connect: Öffnen Sie Threat Connect von Trend Micro in einem neuen Browser-Tab mit einer Abfrage für dieses Objekt.
  • DomainTools (WHOIS): Öffnen Sie DomainTools in einem neuen Browser-Tab mit einer Abfrage für diese IP-Adresse oder Domain.
  • VirusTotal: Öffnen Sie VirusTotal in einem neuen Browser-Tab mit einer Abfrage für dieses Objekt.