Über Angriffsdiagramme

Gilt für: WatchGuard EPDR, WatchGuard EDR

Wenn auf der Angriffsdetailseite ein Diagramm mit dem Angriffsindikator (IOA) verknüpft ist, können Sie auf Angriffsdiagramm anzeigen klicken, um ein interaktives Diagramm der Reihenfolge der Ereignisse zu sehen, die zur Generierung des IOA geführt haben. Sie können das Diagramm nutzen, um Sie bei der Identifizierung der Ursache des Angriffs zu unterstützen.

Screen shot of Attack Graph

Standardmäßig wird das Diagramm horizontal angezeigt und der Knoten, der den IOA ausgelöst hat, befindet sich im Zentrum des Diagramms. Er wird von einer Teilmenge der Knoten umgeben, die mit dem IOA in Verbindung stehen. Das Diagramm zeigt drei Knotenebenen über dem Hauptknoten sowie eine Knotenebene unter dem Hauptknoten.

Knoten stellen Einheiten dar, die an einer Operation beteiligt sind (wie Vorgänge, Dateien oder Kommunikations- oder Betriebsziele). Pfeile stellen Operationen dar. Verwenden Sie die Symbolleistenoptionen, um spezifische Knoten auszuwählen und das Diagramm an Ihre Bedürfnisse anzupassen. Sie können den Zeitstrahl unterhalb des Diagramms nutzen, um den angezeigten Zeitraum, in dem die Ereignisse stattgefunden haben, zu verlängern oder zu verkürzen.

Das Informationsfenster rechts zeigt Ereignisinformationen für den ausgewählten Knoten oder Pfeil. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.

Symbolleiste

Mit der Symbolleiste können Sie das Design des Diagramms verändern. Diese Buttons stehen in der Symbolleiste zur Verfügung:

Button Name Beschreibung
Rückgängig machen Macht die letzte am Diagramm ausgeführte Aktion rückgängig
Wiederholen Wiederholt die letzte am Diagramm ausgeführte Aktion
Heranzoomen Im Diagramm heranzoomen
Herauszoomen Vom Diagramm herauszoomen
Zoom zurücksetzen Setzt den Zoom auf die Standardeinstellung zurück
Horizontales Diagramm Ändert die Ausrichtung des Diagramms auf horizontal
Vertikales Diagramm Ändert die Ausrichtung des Diagramms auf vertikal
Schichten ein-/ausblenden Blendet Informationsebenen im Diagramm ein oder aus

Ein- oder Ausblenden von Ebenen in einem Angriffsdiagramm:

  1. Klicken Sie in der Symbolleiste auf .
  2. Wählen Sie in dem sich dann öffnenden Menü die Diagrammelemente, die Sie ein- bzw. ausblenden wollen:
    • Ausführungssequenz — Blendet Zahlen auf den Ereignissen zur Bestimmung der Reihenfolge, in der die Ereignisse stattgefunden haben, ein oder aus.
    • Name der Beziehungen — Blendet die Namen der Ereignisse ein oder aus. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.
    • Name der Einheiten — Blendet die Namen der Einheiten (wie Vorgänge, Dateien oder Kommunikations-oder Betriebsziele) ein oder aus.

Diagrammknoten und -pfeile

Das Diagramm stellt eine Reihe von Ereignissen mit Knoten und Pfeilen dar, um Einheiten und die zwischen ihnen bestehenden Beziehungen zu zeigen. Der Knoten, der den IOA ausgelöst hat, befindet sich im Zentrum des Diagramms, umgeben von einer Teilmenge der Knoten, die mit dem IOA in Verbindung stehen. Das Diagramm zeigt drei Knotenebenen über dem Hauptknoten sowie eine Knotenebene unter dem Hauptknoten.

Knoten stellen Einheiten dar, die an einer Operation beteiligt sind (wie Vorgänge, Dateien oder Kommunikations- oder Betriebsziele) und Pfeile stellen Operationen dar. Die Zahlen auf dem Pfeil geben die Reihenfolge an, in der die Ereignisse erfasst wurden. Wenn Sie einen Knoten auswählen, zeigt das Informationsfenster Details der aufgetretenen Ereignisse dar. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.

  • Klicken Sie auf den Knoten, um einen einzigen Knoten auf dem Diagramm auszuwählen.
  • Um mehrere nicht benachbarte Knoten auf dem Diagramm auszuwählen, halten Sie die Strg- oder Umschalttaste gedrückt und klicken Sie auf die Knoten, die Sie auswählen wollen.
  • Um mehrere benachbarte Knoten auf dem Diagramm auszuwählen, halten Sie die Strg- oder Umschalttaste gedrückt und klicken Sie auf einen leeren Bereich des Diagramms. Ziehen Sie die Maus, um ein Auswahlfeld zu zeichnen, das alle Knoten beinhaltet, die Sie auswählen wollen.
    Wenn Sie Knoten im Diagramm auswählen und die rechte Maustaste drücken, werden Optionen, die auf alle ausgewählte Knoten zutreffen, im Kontext-Menü angezeigt.

Knoten- und Statussymbole

Die Farbe eines Knoten zeigt an, ob das Element als Malware (rot), verdächtig oder unklassifiziert (orange) oder Goodware (grün) klassifiziert ist. Diese Knotensymbole werden verwendet, um verschiedene Einheiten in einer Operation darzustellen.

Symbol Beschreibung
Prozess Wenn es zu einem bekannten
Software-Paket gehört, wird das Symbol angezeigt.
Remote-Thread
Bibliothek
Schutz
Ordner
Nicht ausführbare Datei
Komprimierte Datei
Ausführbare Datei
Skriptdatei
Windows Registry-Zweigwert
In einer Kommunikation verwendete URL
IP-Adresse in einer Kommunikation

Status-Symbole zeigen die auf dem Knoten ergriffene Aktion dar.

Symbol Aktion
Datei gelöscht
Datei desinfiziert
Datei in Quarantäne gestellt
Prozess gelöscht

Untergeordnete Knoten anzeigen

Das Diagramm kann bis zu höchstens 25 Knoten auf derselben Ebene anzeigen. Wenn es mehr als 25 Knoten gibt, zeigt das Diagramm keine Knoten. Ein Symbol unten links auf einem Knoten zeigt an, dass der Knoten ausgeblendete untergeordnete Knoten hat.

Anzeigen von untergeordneten Knoten:

  1. Klicken Sie mit der rechten Maustaste auf einen Knoten.
    Ein Kontext-Menü wird geöffnet.
  2. Wählen Sie eine der verfügbaren Optionen:
    • Übergeordnete anzeigen — Zeigt die übergeordneten Knoten des ausgewählten Knoten.
    • Alle Aktivitäten anzeigen (Zahl) — Zeigt alle untergeordneten Knoten des Knoten, unabhängig vom Typ. Die maximale Zahl der angezeigten Knoten ist 25. Die Gesamtzahl der Ereignisse, die den übergeordnete Knoten mit dem untergeordneten Knoten verbinden, wird angezeigt.
    • Untergeordnete Knoten anzeigen — Öffnet eine Dropdown-Liste. Wählen Sie den Typ der untergeordneten Knoten, die angezeigt werden sollen, und wählen Sie die Anzahl Knoten für jeden Typ. Zu den Knotentypen gehören:
      • Datendateien (Dateien mit nicht identifizierten Informationen)
      • Skriptdateien (Dateien mit Befehlssequenzen)
      • DNS (Domänen, die die IP nicht lösen konnten)
      • Windows Registry-Einträge
      • Komprimierte Dateien
      • PE-Dateien (ausführbare Dateien)
      • Remote-Bedrohungen
      • IPs (IP-Adressen für eines der Enden der Kommunikation)
      • Bibliotheken
      • Prozesse
      • Schutz (von Virenschutz ergriffene Aktion)

Verschieben und Löschen von Knoten

Verschieben und löschen Sie Knoten, um das Diagramm auf die Informationen zu fokussieren, die Sie sehen wollen.

Um einen einzigen Knoten zu verschieben, wählen Sie den Knoten aus und ziehen Sie ihn an einen neuen Ort.
Alle Linien, die den Knoten mit seinen Nachbarn verbinden, werden verschoben und passen sich selbst an den neuen Ort des Knoten an.

Verschieben des Diagramms, um andere Knoten zu sehen:

  1. Klicken Sie auf einen leeren Bereich des Diagramms.
  2. Ziehen Sie das Diagramm in die entsprechende Richtung.

Löschen eines einzigen Knoten:

  1. Klicken Sie mit der rechten Maustaste auf den Knoten, den Sie löschen wollen.
    Das Kontext-Menü wird geöffnet.
  2. Wählen Sie Löschen (X).
    Es wird ein Dialogfeld geöffnet, das die Gesamtzahl der Knoten zeigt, die vom Diagramm gelöscht werden. Dies beinhaltet den ausgewählten Knoten und dessen untergeordnete Knoten.
  3. Klicken Sie auf OK.

Löschen mehrerer Knoten:

  1. Halten Sie die Strg-Taste gedrückt.
  2. Klicken Sie auf die Knoten, die Sie löschen wollen.
  3. Klicken Sie mit der rechten Maustaste auf einen der Knoten.
    Das Kontext-Menü wird geöffnet.
  4. Wählen Sie Löschen (X).
    Es wird ein Dialogfeld geöffnet, das die Gesamtzahl der Knoten zeigt, die vom Diagramm gelöscht werden. Dies beinhaltet die ausgewählten Knoten und deren untergeordnete Knoten.
  5. Klicken Sie auf OK.

Pfeile

Die Farbe der Pfeile zeigt an, ob WatchGuard EPDR oder WatchGuard EDR die Aktion blockiert oder zugelassen haben.

  • Rot — Die Aktion wurde als Bedrohung klassifiziert und blockiert.
  • Schwarz — Die Aktion wurde zugelassen.

Die Stärke des Pfeils stellt dar, wie oft derselbe Aktionstyp zwischen zwei Knoten ausgeführt wurde. Je größer die Anzahl der Aktionen, desto breiter ist der Pfeil.

Wenn Sie auf einen Pfeil klicken, zeigt das Informationsfenster das Datum an, an dem die ersten und letzten Aktionen in der Gruppe stattgefunden haben. Die Richtung des Pfeils zeigt die Richtung der Aktion an.

Die Zahlen auf dem Pfeil geben die Reihenfolge an, in der das Ereignis erfasst wurde. Wenn Sie auf das Schild auf einem Pfeil klicken, zeigt das Informationsfenster die Ereignisse an, die stattgefunden haben. Weitere Informationen finden Sie unter Angriffsindikatoren-Ereignisse.

Zeitstrahl

Der Zeitstrahl befindet sich unter dem Diagramm. Er beinhaltet ein Histogramm mit grünen Balken, die die von einer Bedrohung ausgeführten Ereignis darstellen. Zeigen Sie auf die Balken, um eine Kurzinfo der Anzahl der Ereignisse und des Datums, an dem sie protokolliert wurden, zu sehen.

Zeitstrahlkontrollen

Sie können die Knoten und Beziehungen, die außerhalb eines ausgewählten Zeitraums stattgefunden haben, undeutlich machen. Mit den Kontrollen unten auf dem Zeitstrahl können Sie die Ansicht zu genau dem Moment positionieren, als die Bedrohung eine Aktion ausgeführt hat, und weitere Informationen abrufen, die Ihnen bei der Durchführung einer forensischen Analyse helfen können.

  • Um einen spezifischen Zeitraum auf dem Zeitstrahl auszuwählen, ziehen Sie die grauen Intervallwähler nach links oder rechts. Das Diagramm zeigt die Ereignisse und Knoten, die innerhalb des Zeitraums eingetreten sind. Sonstige Ereignisse und Knoten werden verschwommen dargestellt.
  • Um den vollständigen Pfad des Zeitstrahls zu sehen, wählen Sie Erster Knoten und klicken dann auf Start.
  • Um die Bewegungsgeschwindigkeit einzustellen, klicken Sie auf 1x und wählen eine Geschwindigkeitsoption.

Diese Kontrollen stehen unter dem Zeitstrahl zur Verfügung.

  • Start — Startet den Zeitstrahl mit einer konstanten Geschwindigkeit von 1x. Die Diagramme und Linien, die die Aktionen darstellen, werden angezeigt, wenn die Anzeige des Zeitstrahls fortfährt.
  • 1x — Legt die Geschwindigkeit des Zeitstrahls fest.
  • Stopp — Stoppt den Fortschritt des Zeitstrahls.
  • + und - — Zoomt auf dem Zeitstrahl heran und heraus.
  • < und > — Wählt den vorherigen oder nächsten Knoten.
  • Ursprünglicher Zoom — Stellt das ursprüngliche Zoom-Level wieder her, wenn Sie mit den Buttons + und – heran- oder herausgezoomt haben.
  • Alle Knoten auswählen — Verschiebt die Zeitwähler, um den gesamten Zeitstrahl abzudecken.
  • Erster Knoten — Legt den Zeitintervall bis zum Start des Zeitstrahls fest.

Siehe auch

Angriffsindikatoren-Details