Überblick über die Bedrohungsuntersuchung

Ansichten:

Hinweis

Diese Funktion erfordert eine besondere Lizenz.

Bedrohungsuntersuchungen verwenden Servermetadaten, um Endpunkte schnell zu identifizieren, die mögliche Kandidaten für eine weitere Analyse sind.

Die folgende Tabelle beschreibt die Registerkarten im Fenster Bedrohungsuntersuchung.

Registerkarten	Beschreibung
Bewertung	Verwenden Sie eine Bewertung, um folgende Aktionen durchzuführen: Prüfen Sie die Verbreitung der Bedrohung und die Dauer des Vorhandenseins der Bedrohung im Netzwerk. Die Bewertung durchläuft alle Verlaufsdaten. Bestimmen Sie das Vorhandensein einer Bedrohung anhand einfacher Kriterien. Bewertungen unterstützen nur eine begrenzte Anzahl von Kriterien. Bei der Bedrohungsuntersuchung stehen folgende Bewertungstypen zur Verfügung: Schnell: Geben Sie Datei-Hash-Werte, IP-Adressen oder Domänen in der Schnellbewertung an und klicken Sie auf Auswirkungen bewerten. Erweitert: Bei der erweiterten Bewertung werden die folgenden Kriterientypen unterstützt: Benutzerdefinierte Kriterien: Geben Sie bis zu zehn Kriterien an. Details finden Sie unter Benutzerdefinierte Kriterien für Bedrohungsuntersuchungen verwenden. OpenIOC-Datei: Definieren Sie anhand von OpenIOC-Regeln Untersuchungskriterien. Details finden Sie unter OpenIOC-Dateien für Bedrohungsuntersuchungen verwenden. (Nur Worry-Free Services Advanced) Klicken Sie auf E-Mails, um zur E-Mail-Bewertung zu wechseln. Weitere Informationen finden Sie unter Bedrohungsuntersuchung – E-Mail-Bewertung.
Fehlerursachenanalyse	Wenn eine Bewertung eine Übereinstimmung zurückgibt, können Administratoren eine Fehlerursachenanalyse erstellen: Auflisten aller verwandten Objekte zu den angegebenen Kriterien Identifizieren, ob eines der verwandten Objekte relevant ist Überprüfen Sie die Reihenfolge der Ereignisse, die zur Ausführung des übereinstimmenden Objekts führen. Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen. Verwenden Sie die Registerkarte Fehlerursachenanalyse, um den Status der Aufgabe zu überwachen. Wenn der Vorgang abgeschlossen ist, klicken Sie auf die Zahl in der Spalte Ergebnisse, um die Analyseergebnisse anzuzeigen.

Registerkarten

Beschreibung

Bewertung

Verwenden Sie eine Bewertung, um folgende Aktionen durchzuführen:

Prüfen Sie die Verbreitung der Bedrohung und die Dauer des Vorhandenseins der Bedrohung im Netzwerk. Die Bewertung durchläuft alle Verlaufsdaten.
Bestimmen Sie das Vorhandensein einer Bedrohung anhand einfacher Kriterien. Bewertungen unterstützen nur eine begrenzte Anzahl von Kriterien.

Bei der Bedrohungsuntersuchung stehen folgende Bewertungstypen zur Verfügung:

Schnell: Geben Sie Datei-Hash-Werte, IP-Adressen oder Domänen in der Schnellbewertung an und klicken Sie auf Auswirkungen bewerten.
Erweitert: Bei der erweiterten Bewertung werden die folgenden Kriterientypen unterstützt:
- Benutzerdefinierte Kriterien: Geben Sie bis zu zehn Kriterien an.
  
  Details finden Sie unter Benutzerdefinierte Kriterien für Bedrohungsuntersuchungen verwenden.
- OpenIOC-Datei: Definieren Sie anhand von OpenIOC-Regeln Untersuchungskriterien.
  
  Details finden Sie unter OpenIOC-Dateien für Bedrohungsuntersuchungen verwenden.

(Nur Worry-Free Services Advanced) Klicken Sie auf E-Mails, um zur E-Mail-Bewertung zu wechseln.

Weitere Informationen finden Sie unter Bedrohungsuntersuchung – E-Mail-Bewertung.

Fehlerursachenanalyse

Wenn eine Bewertung eine Übereinstimmung zurückgibt, können Administratoren eine Fehlerursachenanalyse erstellen:

Auflisten aller verwandten Objekte zu den angegebenen Kriterien
Identifizieren, ob eines der verwandten Objekte relevant ist
Überprüfen Sie die Reihenfolge der Ereignisse, die zur Ausführung des übereinstimmenden Objekts führen.

Die Erstellung einer Fehlerursachenanalyse kann einige Zeit in Anspruch nehmen. Verwenden Sie die Registerkarte Fehlerursachenanalyse, um den Status der Aufgabe zu überwachen.

Wenn der Vorgang abgeschlossen ist, klicken Sie auf die Zahl in der Spalte Ergebnisse, um die Analyseergebnisse anzuzeigen.