Ansichten:

Prozedur

  1. Navigieren Sie zu ERKENNUNG UND REAKTIONBedrohungsuntersuchung.
  2. Klicken Sie auf Erweitert.
  3. Wählen Sie Benutzerdefiniert aus.
  4. Geben Sie einen Datenzeitraum für die Untersuchung an.
  5. Wählen Sie eine der folgenden Optionen aus:
    • EINES der Kriterien erfüllen: Suchen Sie nach Objekten, die eines der angegebenen Kriterien erfüllen
    • ALLE Kriterien erfüllen: Suchen Sie nach Objekten, die alle angegebenen Kriterien erfüllen
  6. Klicken Sie auf Neue Kriterien, um einen Kriterientyp auszuwählen, und geben Sie gültige Daten ein.
    Details finden Sie unter Unterstützte Formate für benutzerdefinierte Kriterien.
    Klicken Sie zum Speichern der Kriterien für zukünftige Untersuchungen auf save.jpg.
  7. (Optional) Klicken Sie zum Laden vorhandener benutzerdefinierter Kriterien auf Gespeicherte Kriterien.
    1. Wählen Sie die zu ladenden Kriterien aus.
    2. Klicken Sie auf Kriterien anwenden.
  8. Klicken Sie auf Auswirkungen bewerten.
    Der Abschnitt Übereinstimmende Endpunkte wird angezeigt. Bitte warten Sie kurz, bis die Untersuchung durchgeführt wurde.
  9. Überprüfen Sie die Ergebnisse im Abschnitt Übereinstimmende Endpunkte.
    Die folgenden Informationen sind verfügbar:
    Name der Spalte
    Beschreibung
    Endpunkt
    Name des Endpunkts mit dem übereinstimmenden Objekt
    IPv4-Adresse
    IP-Adresse des Endpunkts mit dem übereinstimmenden Objekt
    Die IP-Adresse wird vom Netzwerk zugewiesen
    Betriebssystem
    Vom Endpunkt verwendetes Betriebssystem
    Benutzer
    Benutzername des Benutzers, der angemeldet war, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    Klicken Sie auf den Benutzernamen, um weitere Informationen über den Benutzer anzuzeigen.
    Zuerst protokolliert
    Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    Details
    Klicken Sie auf das Symbol, um das Fenster Übereinstimmungsdetails zu öffnen.
    Im Fenster Übereinstimmungsdetails werden die folgenden Informationen angezeigt:
    • Kriterien: Kriterien, die bei der Bewertung verwendet werden
    • Zuerst protokolliert: Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    • CLI-/Registrierungs-Vorkommen: Anzahl der Übereinstimmungen, die in der Befehlszeile oder in Registrierungseinträgen gefunden wurden
      Klicken Sie auf den Wert, um weitere Details anzuzeigen.
    • Betroffene Endpunkte: Wenn die Bewertung 'bösartig' ist, die Anzahl der Endpunkte, auf denen eine ähnliche Übereinstimmung gefunden wurde
      Die Anzahl umfasst nur Endpunkte, die in den letzten 90 Tagen betroffen waren.
  10. Um die Abfolge der Ereignisse zu überprüfen, die zur Ausführung des übereinstimmenden Objekts führen, wählen Sie die Endpunkte aus, für die eine weitere Analyse erforderlich ist. Klicken Sie anschließend auf Fehlerursachenanalyse generieren.
    Der Bildschirm Fehlerursachenanalyse generieren wird angezeigt.
  11. Geben Sie einen Namen für die Fehlerursachenanalyse an und klicken Sie auf generieren.
  12. Klicken Sie auf die Registerkarte Fehlerursachenanalyse, um die Ergebnisse zu prüfen. Bitte warten Sie kurz, bis die Aufgabe abgeschlossen ist.
Zugehörige Informationen