ESET PROTECT – Inhaltsverzeichnis

Incidents

Mit Incidents können wir Ereignisse zu Incidents korrelieren und Bedrohungsuntersuchungen verbessern. Incidents werden automatisch aus Ereignissen erstellt, was die Zeit für die Warnungs-Triage erheblich verkürzt.

Im Abschnitt Incidents werden Incidents aufgelistet, die automatisch aus Ereignissen basierend auf vordefinierten Regeln erstellt wurden.

Filtern der Ansicht

Sie können die Ansicht auf verschiedene Arten filtern:

Klicken Sie auf den Selektor Tags (Pfeilsymbol) und wählen Sie ein oder mehrere Tags aus, um den Filter für die aufgelisteten Incidents zu aktivieren. Die Ergebnisse werden blau hervorgehoben und zeigen Incidents mit den ausgewählten Tags an.

Klicken Sie auf den Schweregrad eines Incidentsseverity_high Hoch, severity_medium Mittel oder severity_low Niedrig. Sie können diese Symbole je nach Bedarf ein- und ausschalten, um sie zu kombinieren.

Incidentstatusopen_incident Open, in_progress_incident In Bearbeitung, scheduled Warte auf Eingabe oder closed_incident Geschlossen

Klicken Sie auf Filter hinzufügen und wählen Sie die Incidenttypen im Dropdown-Menü aus.

oZugewiesen zu – Geben Sie den Namen der Person an, der dieser Incident zugewiesen wurde.

oAutor – Wählen Sie im Dropdown-Menü Folgendes aus: ESET, ESET Dienst oder Benutzername.

oGrund für das Schließen – Wählen Sie im Dropdown-Menü Folgendes aus: Alle, Fehlerkennung, verdächtig, tatsächlicher Alarm.

oErstellungszeit – Wählen Sie im Dropdown-Menü: ≤ Heute, vor ≤ 24 Stunden, vor ≤ 3 Tagen, vor ≤ 7 Tagen, vor ≤ 14 Tagen, vor ≤ 30 Tagen, vor ≤ 90 Tagen oder vor ≤ 180 Tagen.

oLetztes Update – Wählen Sie im Dropdown-Menü: ≤ Heute, vor ≤ 24 Stunden, vor ≤ 3 Tagen, vor ≤ 7 Tagen, vor ≤ 14 Tagen, vor ≤ 30 Tagen, vor ≤ 90 Tagen oder vor ≤ 180 Tagen.

oName – Geben Sie den Namen des Incidents ein.

oAnzahl der Computer – Geben Sie die Anzahl der ausgewählten Computer ein.

oAnzahl der Ereignisse – Geben Sie die Anzahl der ausgewählten Ereignisse ein.

Anpassen von Filtern und Layout

Sie können die Bildschirmansicht für die Web-Konsole anpassen:

Verwalten Sie den Seitenbereich und die Haupttabelle.

Filter und Voreinstellungen für Filter hinzufügen Sie können Markierungen verwenden, um die angezeigten Elemente zu filtern.


Hinweis

Falls Sie einen bestimmten Incident nicht in der Liste finden, von dem Sie wissen, dass er in Ihrer ESET PROTECT Infrastruktur existiert, überprüfen Sie, ob alle Filter deaktiviert sind und ob Ihrem Benutzerkonto die notwendigen Berechtigungssätze zugewiesen wurden.

Wichtig

Die konfigurierten Berechtigungen werden auf das übergeordnete Unternehmen der statischen Gruppe angewendet, die Sie im Schritt Statische Gruppen ausgewählt haben.

gear_icon Voreinstellungen

Filtersets

icon_inspect_default Inspect

Öffnen Sie den Bereich Incidents in der ESET Inspect Web-Konsole. ESET Inspect ist nur verfügbar, wenn Sie eine ESET Inspect Lizenz besitzen und ESET Inspect mit ESET PROTECT verbunden ist. Benutzer der Web-Konsole benötigen Leseberechtigung oder höher für den Zugriff auf ESET Inspect.

update_default Aktualisieren

Seite aktualisieren.

Incidentdetails

Wählen Sie einen oder mehrere Incidents aus, klicken Sie auf die Schaltfläche Aktionen und dann auf die Schaltfläche mit den drei Punkten icon_more_vertical, um folgende Optionen anzuzeigen:

Details anzeigen – Zeigt einen Überblick über den Incident an.

Übersicht – Enthält die folgenden Informationen:

oIncidentdetails, wie sie im Hauptabschnitt angezeigt werden.

oAuswirkungen auf das Unternehmen – Anzahl der betroffenen Computer, ausführbaren Dateien und Prozesse. Klicken Sie auf die Zahl, um zur entsprechenden Seite zu gelangen.

Wichtig

Ausführbare Dateien und Prozesse sind nur für Kunden mit EDR Stufe und aktiver ESET Inspect Lizenz verfügbar. Sie werden zur ESET Inspect Cloud-Konsole weitergeleitet und können sich die Listen dort ansehen.

oKommentare – Fügen Sie einen Kommentar zum Incident hinzu. Klicken Sie auf Alle Kommentare anzeigen, um alle erstellten Kommentare anzuzeigen. Sie haben die Optionen Kommentar bearbeiten, Kommentar anheften und Kommentar löschen zur Auswahl.

oBeschreibung – Erläuterung des Incidents.

oMITTRE ATT&CK® Techniken – Verfügbare MITTRE ATT&CK Techniken für den ausgewählten Incident.

oEmpfohlene Schritte – Schritte zum Auslösen der Reaktion auf den Incident.

Ereignisse – Liste der Ereignisse. Klicken Sie auf ein Ereignis, um die Ereignisdetails anzusehen. Sie können eine Prozessstruktur mit Prozess- und Ereignisknoten ansehen:

Prozessstruktur

Wichtig

Derzeit ist nur die Beta-Version der Prozessstruktur verfügbar, in der nur das ausgewählte Ereignis angezeigt wird.

Mit der Prozessstruktur können die Benutzer durch das Ereignis navigieren. Klicken Sie auf einen Prozessknoten (abgerundete Knoten) oder einen Ereignisknoten (rechteckige Knoten) in der Prozessstruktur, um Details je nach Datenverfügbarkeit anzuzeigen:

arrow_down_businessEreignisknoten:
arrow_down_businessProzessknoten:

Betroffene Computer – Liste der betroffenen Computer.

Zeitleiste des Incidents – Zeitleiste mit einer kurzen Historie des Incidents vom auslösenden Ereignis bis zum Abschluss des Incidents.

Verfügbare Optionen in den einzelnen Abschnitten:

Schaltfläche Inspect, mit der Sie den Incident nach ESET Inspect weiterleiten und im Incidentdiagramm untersuchen können.

Schaltfläche update_default Aktualisieren, mit der Sie die Seite aktualisieren können.

Klicken Sie auf die Schaltfläche Reagieren auf einen Incident, um betroffene Objekte auszuwählen und Abwehrreaktionen zu definieren. Wählen Sie eine Abwehrreaktion (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) aus und klicken Sie auf Bestätigen.

oComputer > Weiter > Abwehrreaktion auswählen (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) > Bestätigen.

oProzesse > Weiter > Abwehrreaktion auswählen (Prozess beenden) > Bestätigen.

oAusführbare Dateien > Weiter > Abwehrreaktion auswählen (Blockieren, Blockieren und säubern) > Bestätigen.

Status und Empfänger ändern – Klicken Sie auf diese Option, um Optionen im Dropdown-Menü auszuwählen.

oStatus – Wählen Sie den aktuellen Status des Incidents im Dropdown-Menü aus: Offen, In Bearbeitung, Warte auf Eingabe oder Geschlossen. Wenn Sie „Geschlossen“ auswählen, müssen Sie auch den Grund für das Schließen des Incidents auswählen (Tatsächlicher Alarm, Verdächtig, Fehlerkennung oder ungültig) und können optional einen Kommentar eingeben.

oZugewiesen zu – Wenn Sie den Status Offen oder In Bearbeitung ausgewählt haben, müssen Sie einen verfügbaren Benutzer im Dropdown-Menü auswählen.

Klicken Sie auf Speichern.

Tags – Klicken Sie auf diese Option, um Tags im Dropdown-Menü auszuwählen, und klicken Sie dann auf Übernehmen. Sie können auch ein neues Schlüsselwort eingeben und die Eingabetaste drücken, um einen neuen Tag zu erstellen.