Incidents
Mit Incidents können wir Indikatoren zu Incidents zuordnen und Bedrohungen besser untersuchen. Incidents werden automatisch aus Indikatoren erstellt, um die Warnungs-Triage erheblich zu beschleunigen.
Filtern der Ansicht
Sie können die Ansicht auf verschiedene Arten filtern:
•Klicken Sie auf den Selektor Tags (Pfeilsymbol) und wählen Sie ein oder mehrere Tags aus, um den Filter für die aufgelisteten Incidents zu aktivieren. Die Ergebnisse werden blau hervorgehoben und zeigen Incidents mit den ausgewählten Tags an.
•Klicken Sie auf den Schweregrad eines Incidents – 
Hoch, 
Mittel oder 
Niedrig. Sie können diese Symbole je nach Bedarf ein- und ausschalten, um sie zu kombinieren.
•Incidentstatus – 
Open, 
In Bearbeitung, 
Warte auf Eingabe oder 
Geschlossen
•Klicken Sie auf Filter hinzufügen und wählen Sie die Incidenttypen im Dropdown-Menü aus.
oZugewiesen zu – Geben Sie den Namen der Person an, der dieser Incident zugewiesen wurde.
oAutor – Wählen Sie im Dropdown-Menü Folgendes aus: ESET, ESET Dienst oder Benutzername.
oGrund für das Schließen – Wählen Sie im Dropdown-Menü Folgendes aus: Alle, Fehlerkennung, verdächtig, tatsächlicher Alarm.
oErstellungszeit – Wählen Sie im Dropdown-Menü: ≤ Heute, vor ≤ 24 Stunden, vor ≤ 3 Tagen, vor ≤ 7 Tagen, vor ≤ 14 Tagen, vor ≤ 30 Tagen, vor ≤ 90 Tagen oder vor ≤ 180 Tagen.
oLetztes Update – Wählen Sie im Dropdown-Menü: ≤ Heute, vor ≤ 24 Stunden, vor ≤ 3 Tagen, vor ≤ 7 Tagen, vor ≤ 14 Tagen, vor ≤ 30 Tagen, vor ≤ 90 Tagen oder vor ≤ 180 Tagen.
oName – Geben Sie den Namen des Incidents ein.
oAnzahl der Computer – Geben Sie die Anzahl der ausgewählten Computer ein.
oAnzahl der Indikatoren – geben Sie die Anzahl der ausgewählten Indikatoren ein.
oAnzahl der Benutzer – Geben Sie die Anzahl der ausgewählten Benutzer ein.
Anpassen von Filtern und Layout
Sie können die Bildschirmansicht für die Web-Konsole anpassen:
•Verwalten Sie den Seitenbereich und die Haupttabelle.
•Filter und Voreinstellungen für Filter hinzufügen Sie können Markierungen verwenden, um die angezeigten Elemente zu filtern.
|
Falls Sie einen bestimmten Incident nicht in der Liste finden, von dem Sie wissen, dass er in Ihrer ESET PROTECT Infrastruktur existiert, überprüfen Sie, ob alle Filter deaktiviert sind und ob Ihrem Benutzerkonto die notwendigen Berechtigungssätze zugewiesen wurden. |
|
Die konfigurierten Berechtigungen werden auf das übergeordnete Unternehmen der statischen Gruppe angewendet, die Sie im Schritt Statische Gruppen ausgewählt haben. |
|
|
|
Öffnen Sie den Bereich Incidents in der ESET Inspect Web-Konsole. ESET Inspect ist nur verfügbar, wenn Sie ein ESET Inspect Lösungspaket besitzen und ESET Inspect mit ESET PROTECT verbunden ist. Benutzer der Web-Konsole benötigen Leseberechtigung oder höher für den Zugriff auf ESET Inspect. |
|
Seite aktualisieren. |
Incidentdetails
Wählen Sie einen oder mehrere Incidents aus, klicken Sie auf die Schaltfläche Aktionen und dann auf die Schaltfläche mit den drei Punkten 
, um folgende Optionen anzuzeigen:
•Details anzeigen – Zeigt einen Überblick über den Incident an.
Übersicht – Enthält die folgenden Informationen:
oIncidentdetails, wie sie im Hauptabschnitt angezeigt werden.
oAuswirkungen auf das Unternehmen – Anzahl der betroffenen Computer, ausführbaren Dateien und Prozesse. Klicken Sie auf die Zahl, um zur entsprechenden Seite zu gelangen.
|
Ausführbare Dateien und Prozesse sind nur für Kunden mit EDR Stufe und aktivem ESET Inspect Lösungspaket verfügbar. Sie werden zur ESET Inspect Cloud-Konsole weitergeleitet und können sich die Listen dort ansehen. |
oKommentare – Fügen Sie einen Kommentar zum Incident hinzu. Klicken Sie auf Alle Kommentare anzeigen, um alle erstellten Kommentare anzuzeigen. Sie haben die Optionen Kommentar bearbeiten, Kommentar anheften und Kommentar löschen zur Auswahl.
oBeschreibung – Erläuterung des Incidents.
oMITTRE ATT&CK® Techniken – Verfügbare MITTRE ATT&CK Techniken für den ausgewählten Incident.
oEmpfohlene Schritte – Schritte zum Auslösen der Reaktion auf den Incident.
Diagramm – Öffnet die Struktur des Incidentdiagramms bestehend aus Indikatoren im Verbund- oder hierarchischen Layout. Das Diagramm enthält ein Bedienfeld mit Schaltflächen zur schnellen Orientierung – Leiste zum Herein- und Herauszoomen, Bildschirmanpassung, Ansicht zurücksetzen und Info-Tooltip mit Verknüpfungen.
Das Diagramm besteht aus Knoten. Im Diagramm können Sie auf alle weißen Knoten klicken, um detaillierte Informationen im Seitenbereich anzuzeigen. Details der grauen Knoten sind nicht einsehbar.
Ein Pfeil zwischen Knoten stellt die Beziehung zwischen verschiedenen Knotentypen dar, zum Beispiel:
oBenutzer → ANGEMELDET → Computer
oBenutzer → FÜHRT AUS → Prozess
oÜbergeordneter Prozess → SUBPROZESS → untergeordneter Prozess
Sie können die Zeitleiste des Incidentdiagramms im Bedienfeld verwenden, um den Zustand des Diagramms auf den Anfang zurückzusetzen, vorwärts zu springen oder den ausgewählten Zeitraum des Diagramms wiederzugeben.
Sie können Gruppen von Indikatoren nach ihrem Schweregrad auswählen. Wenn Sie auf die Gruppe der Indikatoren klicken, wird ein Teildiagramm hervorgehoben. Das Teildiagramm besteht nur aus der Gruppe der ausgewählten Indikatoren mit dem ausgewählten Schweregrad.
Indikatoren – Liste der Indikatoren. Klicken Sie auf einen Indikator, um Details anzuzeigen. Optional können Sie die Details in einem neuen Tab öffnen. Klicken Sie dazu auf > Details in neuem Tab anzeigen.
Sie können eine Prozessstruktur mit Prozess- und Indikatorknoten öffnen:
|
Indikatordetails für Indikatoren und Prozesse sind für Incidents verfügbar, die nach dem ESET PROTECT Release-Update 6.4 (1. August 2025) erstellt wurden. Wenn Sie über Incidents verfügen, die vor dem ESET PROTECT Release-Update 6.4 erstellt wurden, werden Sie zur Cloud ESET Inspect Konsole weitergeleitet, wo Sie weitere Informationen erhalten. |
Mit der Prozessstruktur können die Benutzer durch den Indikator navigieren. Klicken Sie auf einen Prozessknoten (abgerundete Knoten) oder einen Indikatorknoten (rechteckige Knoten) in der Prozessstruktur, um Details je nach Datenverfügbarkeit anzuzeigen:
Betroffene Computer – Liste der betroffenen Computer.
Betroffene Identitäten – Liste der betroffenen Benutzer.
Zeitleiste des Incidents – Zeitleiste mit einer kurzen Historie des Incidents vom auslösenden Ereignis bis zum Abschluss des Incidents.
In jedem Abschnitt (außer Diagramm) können Sie Folgendes anklicken:
•Schaltfläche Inspect, mit der Sie den Incident nach ESET Inspect weiterleiten und im Incidentdiagramm untersuchen können.
•Schaltfläche 
Aktualisieren, mit der Sie die Seite aktualisieren können.
Klicken Sie auf die Schaltfläche Reagieren auf einen Incident, um betroffene Objekte auszuwählen und Abwehrreaktionen zu definieren. Wählen Sie eine Abwehrreaktion (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) aus und klicken Sie auf Bestätigen.
oComputer > Weiter > Abwehrreaktion auswählen (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) > Bestätigen.
oProzesse > Weiter > Abwehrreaktion auswählen (Prozess beenden) > Bestätigen.
oAusführbare Dateien > Weiter > Abwehrreaktion auswählen (Blockieren, Blockieren und säubern) > Bestätigen.
•Status und Empfänger ändern – Klicken Sie auf diese Option, um Optionen im Dropdown-Menü auszuwählen.
oStatus – Wählen Sie den aktuellen Status des Incidents im Dropdown-Menü aus: Offen, In Bearbeitung, Warte auf Eingabe oder Geschlossen. Wenn Sie „Geschlossen“ auswählen, müssen Sie auch den Grund für das Schließen des Incidents auswählen (Tatsächlicher Alarm, Verdächtig, Fehlerkennung oder ungültig) und können optional einen Kommentar eingeben.
oZugewiesen zu – Wenn Sie den Status Offen oder In Bearbeitung ausgewählt haben, müssen Sie einen verfügbaren Benutzer im Dropdown-Menü auswählen.
Klicken Sie auf Speichern.
•Tags – Klicken Sie auf diese Option, um Tags im Dropdown-Menü auszuwählen, und klicken Sie dann auf Übernehmen. Sie können auch ein neues Schlüsselwort eingeben und die Eingabetaste drücken, um einen neuen Tag zu erstellen.