Vorfälle

Mit Vorfällen können wir Ereignisse zu Vorfällen korrelieren. Auf diese Weise wird die Untersuchung möglicher Bedrohungen deutlich verbessert. Sie müssen nicht viele Ereignisse durchlaufen, da Vorfälle automatisch aus den Ereignissen erstellt werden, um die für die Warnungs-Triage erforderliche Zeit erheblich zu reduzieren.

Im Abschnitt Vorfälle finden Sie eine Liste der Vorfälle, die automatisch aus Ereignissen auf der Grundlage vordefinierter Regeln erstellt wurden.

Filtern der Ansicht

Sie können die Ansicht auf verschiedene Arten filtern:

•Sie können nach dem Selektor Tags (Pfeilsymbol) filtern und ein oder mehrere Tags auswählen, um den Filter für die aufgelisteten Vorfälle zu aktivieren. Die Ergebnisse enthalten jetzt nur noch Vorfälle mit den ausgewählten Tags (blau hervorgehoben).

•Sie können nach Schweregrad des Vorfalls filtern – Hoch, Mittel, Niedrig. Sie können diese Symbole je nach Bedarf ein- und ausschalten und so kombinieren.

•Sie können nach dem Vorfallstatus filtern: Offen, In Bearbeitung, Geschlossen.

•Klicken Sie auf Filter hinzufügen und wählen Sie im Dropdownmenü die Vorfalltypen aus, die angezeigt werden sollen.

oZugewiesen zu – Geben Sie den Namen eines Empfängers ein.

oErstellungszeit – Treffen Sie eine Auswahl im Dropdown-Menü: < 24 Std., vor ≥ 24 Std., vor ≥ 3 Tagen, vor ≥ 7 Tagen, vor ≥ 14 Tagen, vor ≥ einem Monat, vor ≥ 3 Monaten, vor ≥ 6 Monaten, vor ≥ einem Jahr.

oLetzte Aktualisierung – Treffen Sie eine Auswahl im Dropdown-Menü: < 24 Std., vor ≥ 24 Std., vor ≥ 3 Tagen, vor ≥ 7 Tagen, vor ≥ 14 Tagen, vor ≥ einem Monat, vor ≥ 3 Monaten, vor ≥ 6 Monaten, vor ≥ einem Jahr.

oName – Geben Sie den Namen des Vorfalls ein.

oAnzahl der Computer – Geben Sie die Anzahl der ausgewählten Computer ein.

oAnzahl der Ereignisse – Geben Sie die Anzahl der ausgewählten Ereignisse ein.

Anpassen von Filtern und Layout

Sie können die Bildschirmansicht für die Web-Konsole anpassen:

•Verwalten Sie den Seitenbereich und die Haupttabelle.

•Filter und Voreinstellungen für Filter hinzufügen Sie können Markierungen verwenden, um die angezeigten Elemente zu filtern.

Vorfalldetails

Klicken Sie auf die Schaltfläche Aktionen oder wählen Sie einen Vorfall aus und klicken Sie auf die Schaltfläche mit den drei Punkten , um aus folgenden Optionen zu wählen:

•Details anzeigen – Zeigt einen Überblick über den Vorfall an.

Übersicht – Enthält folgende Informationen:

oDetailübersicht – Vorfalldetails, wie sie im Hauptabschnitt angezeigt werden.

oAuswirkungen auf das Unternehmen – Anzahl der betroffenen Computer. Klicken Sie auf die Zahl, um zur entsprechenden Seite zu gelangen.

oKommentare – Fügen Sie einen Kommentar zum Vorfall hinzu. Klicken Sie auf Alle Kommentare anzeigen, um alle erstellten Kommentare anzuzeigen. Sie haben die Optionen Kommentar bearbeiten, Kommentar anheften und Kommentar löschen zur Auswahl.

oBeschreibung – Erläuterung des Vorfalls.

oEmpfohlene Schritte – Schritte zum Auslösen der Reaktion auf den Vorfall.

Ereignisse – Liste der Ereignisse. Klicken Sie auf die Schaltfläche mit den drei Punkten , um Details anzuzeigen.

Betroffene Computer – Liste der betroffenen Computer.

Zeitleiste des Vorfalls – Zeitleiste mit einer kurzen Historie der Vorfalls vom auslösenden Ereignis bis zum Abschluss des Vorfalls.

 

Klicken Sie auf die Schaltfläche Antworten, um betroffene Objekte auszuwählen und entsprechende Abwehrreaktionen einzurichten. Wählen Sie eine Abwehrreaktion (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) aus und klicken Sie auf Bestätigen.

•Status und Empfänger ändern – Klicken Sie auf diese Option, um Status und Empfänger im Dropdown-Menü auszuwählen. Klicken Sie auf Speichern.

•Tags – Klicken Sie auf diese Option, um Tags im Dropdown-Menü auszuwählen, und klicken Sie dann auf Übernehmen. Sie können auch ein neues Schlüsselwort eingeben und die Eingabetaste drücken, um einen neuen Tag zu erstellen.

˄˅