Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=threatAdvisor-monthly

Informationen in Ihrem Monatsbericht

Übersicht

Die Schutzbewertung von Sophos MDR liefert Ihnen eine umfassende Analyse der zur Verbesserung des Sicherheitsstatus umgesetzten Empfehlungen im Vergleich zu den noch nicht umgesetzten Empfehlungen.

Im Rahmen von Sophos-Health-Check-Empfehlungen raten wir Ihnen beispielsweise, Anti-Exploit-Funktionen zum Schutz vor Zugangsdatendiebstahl und Rechteausweitung oder auch die Erkennung schädlichen Datenverkehrs zum Blockieren der Kommunikation mit Command-and-Control-Servern zu aktivieren. Mit Account Health Checks verbessern Sie Ihren Sicherheitsstatus proaktiv und schließen Sicherheitslücken.

Folgende allgemeine Schutzbewertungen sind möglich:

  • Grün ist optimal (Sie halten die empfohlenen Best Practices vollständig ein)
  • Gelb bedeutet „herabgesetzt“ (einige Ihrer Konfigurationen erhöhen das Risiko, beeinträchtigen jedoch nicht die Wirksamkeit des MDR-Service)
  • Rot bedeutet „Eingreifen erforderlich“ (Sie haben mehrere Konfigurationen mit hohem Risiko, die verhindern, dass der MDR-Service auf einem optimalen Niveau funktioniert)

Unter „Total Licenses Deployed“ werden Informationen zur Lizenznutzung angezeigt. Der Link führt Sie zur Seite „Lizenzen“ in Sophos Central.

Unter „Event Pipeline“ sehen Sie, wie Ihre Daten durch Sophos fließen, und wie der MDR-Service die Daten verwaltet und verarbeitet hat.

Schutzbewertung.

Fälle

Der Monatsbericht enthält Fallkennzahlen eines 3-Monats-Zeitraums (90 Tage) für die Trendlinien, die Ihnen helfen, den zeitlichen Verlauf der Falltypen und der Quellen, aus denen der Erkennungen stammen, zu veranschaulichen.

Fälle.

Daneben gibt es eine Aufschlüsselung „Fälle nach Status“ für den aktuellen Monat.

Monatliche Fälle nach Status.

Unter „Case Activity“ sind für die aktuell offenen sowie die kürzlich geschlossenen Fälle folgende Informationen aufgelistet: Fallnummer, Falltyp, Beschreibung, Zusammenfassung, Fallstatus.

Fallstatus.

Gesamtzahl der Erkennungen

Das MDR-Ops-Team optimiert unsere Erkennungsfunktionen kontinuierlich, wodurch das Erkennungs-Aufkommen von Bericht zu Bericht natürlichen Schwankungen unterliegen kann. Diese Anpassungen werden u. U. vorgenommen, um Erkennungen zu optimieren, die nur einen begrenzten Nutzen bei der Identifizierung von Bedrohungen erbracht haben, oder um unseren Aktionsradius und unsere Transparenz zu erweitern, damit wir neue und aufkommende Bedrohungen noch besser erkennen können.

Nimmt die Anzahl der Erkennungen in Ihrer Umgebung zu, ab oder bleibt gleich? Dieser Bereich bietet Einblicke zum Gesamtvolumen der im Verlauf eines Monats beobachteten Erkennungen und hilft dem MDR-Ops-Team, Wendepunkte potenzieller Angriffsaktivitäten zu identifizieren.

Die Werte zu „Total Detections“ sind nach Monat und nach Schweregrad aufgeschlüsselt. Der Bericht enthält Daten von 3 Monaten zum Vergleich.

Monatliche Gesamtzahl der Erkennungen.

Zusammenfassung der Erkennungen nach Kategorie

MDR-Erkennungen werden in übergeordnete Kategorien eingeteilt, damit Sie einen Gesamtüberblick über die in Ihrem Netzwerk beobachteten Erkennungstypen erhalten. Beispiele hierfür sind gängige Angriffstools, PowerShell-Ausführungen und Persistenz. Wie bei allen Erkennungen sind sie nicht zwangsläufig ein Hinweis auf verdächtige oder schädliche Aktivitäten, sondern könnten mit unbedenklichen Daten in Zusammenhang stehen, die erhoben wurden.

DetectionClasssificationSummary.

MITRE ATT&CK Framework

MDR-Erkennungen werden spezifischen Techniken im MITRE ATT&CK Framework zugeordnet, eine etablierte Wissensdatenbank über Verhaltensweisen von Angreifern, die auf realen Beobachtungen basiert. In diesem Abschnitt des Monatsberichts sehen Sie die Aufschlüsselung der Erkennungen nach Prozentsatz.

Wie bei allen Erkennungen handelt es sich nicht unbedingt um schädliche oder unbedenkliche Verhaltensweisen, sondern um Verhaltensweisen, die in Zusammenhang mit bestimmten Angriffstaktiken und -techniken beobachtet werden. Bitte beachten Sie zudem, dass die Gesamtzahl der MDR-Fälle möglicherweise nicht der Gesamtzahl der beobachteten Angriffstaktiken entspricht. In einem MDR-Fall können mehrere Taktiken beobachtet werden, d. h. die Gesamtzahl der beobachteten Taktiken kann die Gesamtzahl der MDR-Fälle übersteigen. Es können aber auch MDR-Fälle erstellt werden, die nicht mit Angriffstaktiken verknüpft sind (z. B. Health-Check-Fälle). In diesem Fall ist die Gesamtzahl der MDR-Fälle größer als die Gesamtzahl der beobachteten Methoden.

MITRE ATT&CK Framework.

Erkennungen nach Integration

Dank MDR-Integrationen haben MDR-Experten die wichtigsten Daten parat und können Angreifer so einfacher aufspüren. Unter Detections by Integrations ist dargestellt, welche Integrationen Erkennungen generiert haben.

Erkennungen nach Integrationen.

Unter „Additional Sophos MDR Efforts“ sind die letzten durchgeführten Antwortaktionen und Kommunikationsaktivitäten mit Ihren Kundenkontakten aufgelistet.

Letzte Antwortaktionen.

Letzte Kommunikationsaktivitäten.