Ansichten:

Prozedur

  1. Navigieren Sie zu ERKENNUNG UND REAKTIONBedrohungsuntersuchung.
  2. Klicken Sie auf Erweitert.
  3. Wählen Sie OpenIOC-Datei aus.
    Hinweis
    Hinweis
    Bei der Verwendung von OpenIOC-Dateien in historischen Untersuchungen gelten folgende Einschränkungen:
    • Es kann jeweils nur eine OpenIOC-Datei geladen werden.
    • Die einzige unterstützte Bedingung ist IS. Einträge mit sonstigen Bedingungen werden ignoriert und markiert, indem sie durchgestrichen werden.
    • Die einzigen unterstützten Indikatoren sind die Indikatoren, die auf die erfassten Metadaten anwendbar sind. Einträge mit nicht unterstützten Indikatoren werden ignoriert und markiert, indem sie durchgestrichen werden.
      Details finden Sie unter Unterstützte IOC-Indikatoren.
  4. Geben Sie einen Datenzeitraum für die Untersuchung an.
  5. So laden Sie eine neue OpenIOC-Datei hoch und führen eine Untersuchung anhand dieser Datei durch:
    1. Klicken Sie auf OpenIOC-Datei hochladen.
    2. Wählen Sie eine gültige OpenIOC-Datei aus.
    3. Klicken Sie auf Öffnen.
  6. So führen Sie eine Untersuchung anhand einer vorhandenen OpenIOC-Datei durch:
    1. Klicken Sie auf Vorhandene OpenIOC-Datei verwenden.
    2. Wählen Sie eine Datei aus.
    3. Klicken Sie auf Anwenden.
  7. Klicken Sie auf Auswirkungen bewerten.
    Der Abschnitt Übereinstimmende Endpunkte wird angezeigt. Bitte warten Sie kurz, bis die Untersuchung durchgeführt wurde.
  8. Überprüfen Sie die Ergebnisse im Abschnitt Übereinstimmende Endpunkte.
    Die folgenden Informationen sind verfügbar:
    Name der Spalte
    Beschreibung
    Endpunkt
    Name des Endpunkts mit dem übereinstimmenden Objekt
    IPv4-Adresse
    IP-Adresse des Endpunkts mit dem übereinstimmenden Objekt
    Die IP-Adresse wird vom Netzwerk zugewiesen
    Betriebssystem
    Vom Endpunkt verwendetes Betriebssystem
    Benutzer
    Benutzername des Benutzers, der angemeldet war, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    Klicken Sie auf den Benutzernamen, um weitere Informationen über den Benutzer anzuzeigen.
    Zuerst protokolliert
    Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    Details
    Klicken Sie auf das Symbol, um das Fenster Übereinstimmungsdetails zu öffnen.
    Im Fenster Übereinstimmungsdetails werden die folgenden Informationen angezeigt:
    • Kriterien: Kriterien, die bei der Bewertung verwendet werden
    • Zuerst protokolliert: Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
    • CLI-/Registrierungs-Vorkommen: Anzahl der Übereinstimmungen, die in der Befehlszeile oder in Registrierungseinträgen gefunden wurden
      Klicken Sie auf den Wert, um weitere Details anzuzeigen.
    • Betroffene Endpunkte: Wenn die Bewertung 'bösartig' ist, die Anzahl der Endpunkte, auf denen eine ähnliche Übereinstimmung gefunden wurde
      Die Anzahl umfasst nur Endpunkte, die in den letzten 90 Tagen betroffen waren.
  9. Um die Abfolge der Ereignisse zu überprüfen, die zur Ausführung des übereinstimmenden Objekts führen, wählen Sie die Endpunkte aus, für die eine weitere Analyse erforderlich ist. Klicken Sie anschließend auf Fehlerursachenanalyse generieren.
    Der Bildschirm Fehlerursachenanalyse generieren wird angezeigt.
  10. Geben Sie einen Namen für die Fehlerursachenanalyse an und klicken Sie auf generieren.
  11. Klicken Sie auf die Registerkarte Fehlerursachenanalyse, um die Ergebnisse zu prüfen. Bitte warten Sie kurz, bis die Aufgabe abgeschlossen ist.
Zugehörige Informationen