Angriffsindikatoren-Details

Gilt für: WatchGuard EPDR, WatchGuard EDR

Um die Details-Seite für einen IOA zu öffnen, klicken Sie in der Angriffsindikatoren (IOA)-Liste auf eine Computerzeile.

Details-Seite

Auf der Details-Seite für einen IOA können Sie eine detaillierte Beschreibung sehen, wann und wo der IOA aufgetreten ist. Außerdem werden Details des Ereignismusters, das zum IOA geführt hat, angezeigt.

Im Benachrichtigungen-Abschnitt der Seite können Sie folgende Informationen sehen:

  • Erkennungsdatum — Datum und Uhrzeit, zu der WatchGuard Endpoint Security den IOA auf der Workstation oder dem Server erkannt hat.
  • Angriffsindikator — Name des Angriffsindikator.
  • Risiko — Risikograd des Angriffsindikator (Kritisch, Hoch, Mittel, Niedrig, Unbekannt)
  • Beschreibung — Beschreibung der auf dem Computer erkannten Reihenfolge von Ereignissen und der Konsequenzen, die es haben könnte, falls der Angriff sein Ziel erreicht.
    • Um eine Beschreibung der auf dem betroffenen Computer angewandten Taktiken und Techniken zu sehen, klicken Sie auf Erweiterte Angriffsuntersuchung. Eine neue Registerkarte mit dem Bericht wird geöffnet. Berichte sind nach Generierung des IOA einen Monat lang verfügbar. Der Bericht zeigt auch Ereignisse, die während der dreißig Tage vor der Erkennung des IOA Teil des Angriffs sind.
    • Wenn mit dem IOA eine Grafik verbunden ist, klicken Sie auf Angriffsgrafik anzeigen, um ein interaktives Diagramm mit der Reihenfolge von Ereignissen zu sehen, die zur Generierung des IOA geführt haben. Weitere Informationen finden Sie unter Über Angriffsdiagramme.

  • Empfehlungen — Vom WatchGuard Sicherheitsteam für den Administrator empfohlene Aktionen.

Angriffsindikatoren-Detailabschnitt

Der Abschnitt Angriffsindikatoren-Details zeigt die betroffenen Computer, die Anzahl der erkannten Fälle und Datum und Uhrzeit des letzten Ereignisses. Um die Computerdetails-Seite zu öffnen, klicken Sie auf den Computernamen.

Das Textfeld Sonstige Details bietet Daten im JSON-Format mit Feldern, die für das Ereignis, das zur Generierung des IOA geführt hat, relevant sind.

MITRE-Abschnitt

Der MITRE-Abschnitt der Seite zeigt Details des Angriffs, der MITRE ATT&CK-Matrix zugeordnet.

Für jeden Angriff stehen die folgenden Details zur Verfügung:

  • Taktik — Kategorie der Angriffstaktik, die den IOA generiert hat, der MITRE-Matrix zugeordnet. Klicken Sie auf die Taktik, um ein neues Fenster mit detaillierten MITRE-Informationen zur Taktik zu öffnen.
  • Technik — Kategorie der Angriffstechnik, die den IOA generiert hat, der MITRE-Matrix zugeordnet. Klicken Sie auf die Technik, um ein neues Fenster mit detaillierten MITRE-Informationen zur Technik zu öffnen.
  • Plattform — Betriebssystem und Umgebungen, in den MITRE diese Art Angriff zuvor erfasst hat.
  • Erforderliche Berechtigungen — Berechtigungen, die für die Ausführung des Angriffs erforderlich sind.
  • Beschreibung — Details der von dem erkannten IOA verwendeten Taktiken und Techniken, gemäß der MITRE-Matrix.

Siehe auch

Angriffsindikatoren

Einen Angriffsindikator als ausstehend markieren

Einen Angriffsindikator archivieren