Zum Inhalt

Erkennungen

Erkennungen zeigen Ihnen Aktivitäten, die Sie möglicherweise untersuchen müssen.

Erkennungen identifizieren Aktivitäten auf Ihren Geräten, die ungewöhnlich oder verdächtig sind, aber nicht blockiert wurden. Sie unterscheiden sich von Ereignissen, bei denen wir Aktivitäten erkennen und blockieren, von denen wir bereits wissen, dass sie bösartig sind.

Wir generieren Erkennungen auf der Basis von Daten, die Geräte in den Sophos Data Lake hochladen. Wir gleichen die Daten mit Klassifizierungsregeln für Bedrohungen ab. Bei einer Übereinstimmung zeigen wir eine Erkennung an.

Auf dieser Seite erfahren Sie, wie Sie mithilfe von Erkennungen nach potenziellen Bedrohungen suchen können.

Hinweis

Fälle können verwandte Erkennungen automatisch gruppieren, um erweiterte Analyse-Funktionen zu erhalten. Siehe Fälle.

Erkennungen einrichten

Wenn Sie noch keine Erkennungen haben, müssen Sie zulassen, dass Geräte Daten in den Sophos Data Lake hochladen, damit wir sie verwenden können.

Sie können Daten von Sophos-Produkten und Produkten von Drittanbietern hochladen.

Informationen zu Uploads von Sophos-Produkten finden Sie unter Data-Lake-Uploads. Informationen zu Uploads von Drittanbieter-Produkten finden Sie unter Integrationen.

Sehen Sie sich Ihre Erkennungen an

Um Ihre Erkennungen anzuzeigen, gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.

Auf der Seite Erkennungen werden Erkennungsdaten als Balkendiagramm und als Liste angezeigt.

Erkennungsseite.

Zusammenfassung ansehen

Das Balkendiagramm zeigt eine Zusammenfassung der letzten Erkennungen auf einer Zeitachse. Standardmäßig zeigen wir die Erkennungen der letzten 24 Stunden an.

Balkendiagramm zu Erkennungen.

Schieberegler für den Zeitbereich verwenden

Mit dem Schieberegler können Sie sich auf kürzere oder längere Zeiträume konzentrieren. Klicken Sie einfach auf den Ziehpunkt an einem Ende des Schiebereglers und ziehen Sie ihn.

Sie können auch einen anderen Zeitbereich oder einen benutzerdefinierten Bereich festlegen, indem Sie das Menü über der Liste der Erkennungen verwenden.

Schieberegel für das Balkendiagramm zu Erkennungen.

Mauszeiger bewegen, um Statistiken anzuzeigen

Sie können auch eine Aufschlüsselung der Erkennungszahlen erhalten. Gehen Sie zu einem Balken im Diagramm, setzen Sie den Mauszeiger auf ein Band (zum Beispiel „Schweregrad: Hoch“) und bewegen Sie den Mauszeiger, um die Anzahl der Erkennungen mit diesem Schweregrad anzuzeigen.

Die Anzahl der Erkennungen werden angezeigt, wenn der Benutzer den Mauszeiger über das Balkendiagramm bewegt.

Hinweis

Sie können auch auf ein Band im Balkendiagramm klicken, um nur die Erkennungen dieses Schweregrads in der Liste der Erkennungen anzuzeigen.

Erkennungsliste anzeigen

In der Erkennungsliste werden alle Erkennungen mit folgenden Details angezeigt:

  • Schweregrad. Das Risikoniveau, das die Erkennung darstellt.
  • Typ. Der Erkennungstyp. Derzeit werden die Typen „Bedrohung“ oder „Schwachstelle“ angezeigt.
  • Erkennung. Name der Erkennung.
  • Zeit. Zeitpunkt der Erkennung.
  • Einheit. Das Gerät. Später werden wir diese Spalte auch verwenden, um die IP-Adresse oder den Benutzer anzuzeigen.
  • Kategorie. Der Quelltyp. Endpoint, Netzwerk, Firewall, Email, Cloud oder ID-Provider.
  • Quelle. Die Quelle der Erkennung. Die Quelle kann Sophos oder Software von Drittanbietern sein.
  • MITRE ATT&CK. Die entsprechende MITRE ATT&CK-Taktik und -Technik.

Tabelle der Erkennungen.

Zeitbereich ändern

Sie können den Zeitbereich der Erkennungen ändern, der in der Liste der Erkennungen und im Balkendiagramm angezeigt wird.

Wählen Sie im Dropdown-Menü über der Liste einen der häufig verwendeten Zeitbereiche aus, oder klicken Sie auf Absoluter Zeitraum und legen Sie einen benutzerdefinierten Bereich fest.

Menü „Zeitbereich“.

Gruppen-Erkennungen

Sie können Erkennungen nach der Regel gruppieren, die sie zugeordnet haben.

  1. Wählen Sie im Dropdown-Menü Gruppieren nach die Option Detection-ID aus.

    Menü „Nach ID gruppieren“.

  2. Die Erkennungen der gleichen Ereignisse werden gruppiert und in einer Zeile in der Liste angezeigt

    In der Tabelle nach ID gruppierte Erkennungen.

Erkennungen filtern

Sie können Erkennungen nach Schweregrad, Bedrohungstyp, verwendeter MITRE ATT&CK-Taktik und anderen Merkmalen filtern.

  1. Klicken Sie in der Liste Erkennungen auf Filter anzeigen.

    Liste der Erkennungen mit der Schaltfläche „Filter anzeigen“.

  2. Klicken Sie auf eine Filterkategorie, um die Eigenschaften anzuzeigen, die Sie als Filter verwenden können. Klicken Sie zum Beispiel auf Typ und wählen Sie Bedrohung oder Schwachstelle aus.

    Liste der Filter.

  3. Klicken Sie auf weitere Kategorien und wählen Sie die gewünschten Filter aus.

  4. Klicken Sie auf Anwenden.

Für einige Kategorien, wie Benutzername oder Gerätename, geben Sie Ihre eigenen Begriffe ein, die für die Filterung verwendet werden sollen.

Für Kategorien mit vielen Merkmalen, die Sie auswählen können, z. B. MITRE ATT&CK-Taktik, können Sie auf Alle auswählen klicken.

Um alle Filter zu löschen, klicken Sie auf Auf Standardwerte zurücksetzen.

Sie können Filter sowohl auf gruppierte als auch auf nicht gruppierte Erkennungen anwenden.

Erkennungen sortieren

Sie können die Liste der Erkennungen sortieren.

Klicken Sie auf die Sortierpfeile neben einer Spaltenüberschrift, um die Liste nach aufsteigender oder absteigender alphabetischer, numerischer oder Datumsreihenfolge oder nach Priorität für die Spalte Schweregrad zu sortieren.

Erkennung nach Schweregrad sortiert.

Sie können sowohl gruppierte als auch nicht gruppierte Erkennungen sortieren.

Erkennungen öffnen und freigeben

  1. Klicken Sie in der Tabelle auf die drei Punkte neben dem Namen der Erkennung Screenshot des Auslassungssymbols..

  2. Klicken Sie auf In neuem Tab öffnen , um Details zur Erkennung zu öffnen oder auf den Link Kopieren, wenn Sie die Details mit Kollegen teilen möchten.

    Erkennungsmenü mit Öffnen- und Kopieroptionen.

Details zur Erkennung anzeigen

Klicken Sie auf eine beliebige Stelle in der Zeile in der Tabelle, um alle Details einer Erkennung anzuzeigen, z. B. Gerät, Benutzer und beteiligte Prozesse.

Ein neuer Fensterbereich wird rechts auf dem Bildschirm angezeigt.

Details zu Erkennungen werden angezeigt.

In diesem Detailfenster können Sie schnell Erkennungen überprüfen, mehrere Erkennungen in neuen Registerkarten öffnen, Pivot-Abfragen verwenden, MITRE ATT&CK-Details abrufen und ähnliche Erkennungen finden.

Wenn Sie die vollständigen Daten sehen möchten, auf denen die Details basieren, klicken Sie auf die Registerkarte Rohdaten.

Erkennungen schnell überprüfen

Sie müssen nicht zwischen den Ansichten wechseln, um die Details mehrerer Erkennungen zu überprüfen.

Klicken Sie in der Haupttabelle auf eine Erkennung, um sie anzuzeigen. Klicken Sie anschließend in der Tabelle auf eine andere Erkennung. Die angezeigten Details ändern sich automatisch zu den Details dieser Erkennung.

Mehrere Erkennungen öffnen

Sie können mehrere Erkennungen in neuen Registerkarten öffnen, damit Sie sie geöffnet halten und leicht vergleichen können.

Klicken Sie im Slideout-Menü „Erkennungsdetails“ auf die Schaltfläche „Erweitern“ um die Erkennungsdetails in einer neuen Registerkarte zu öffnen.

Schaltfläche „Erweitern“, um die Erkennung in einer neuen Registerkarte zu öffnen.

Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen

Sie können mehr über Erkennungen erfahren, indem Sie Pivot-Abfragen verwenden.

Mit einer Pivot-Abfrage können Sie einen wesentlichen Bestandteil der Daten einer Erkennung auswählen und diesen als Grundlage für die weitere Analyse verwenden.

Im Slideout-Menü „Erkennungsdetails“ sehen Sie drei Punkte neben einigen Elementen. Screenshot des Auslassungssymbols.

Klicken Sie auf das Symbol, um die verfügbaren Aktionen zu sehen. Diese hängen von der Art der Daten ab.

  • Abfragen. Sie können eine Abfrage basierend auf den ausgewählten Daten ausführen. Live-Discover-Abfragen betrachten Daten auf Ihren Geräten (wenn diese online sind). Data-Lake-Abfragen betrachten die Daten, die Geräte in den Sophos Data Lake hochladen.
  • Anreicherungen. Diese eröffnen verschiedene Quellen von Bedrohungsinformationen (wie VirusTotal), die Sie bei der Untersuchung einer potenziellen Bedrohung unterstützen. Sie können auch SophosLabs Intelix-Berichte öffnen, sofern diese verfügbar sind. Siehe Intelix-Berichte.
  • Aktionen. Bieten weitere Erkennung oder Bereinigung. Zum Beispiel können Sie ein Gerät scannen oder Sophos Live Response starten, um auf ein Gerät zuzugreifen und es zu untersuchen.

Wenn Sie im gezeigten Beispiel auf das Symbol neben der Sophos-Prozess-ID klicken, können Sie Abfragen basierend auf dieser ID ausführen.

Pivot-Menü „Erkennungen“.

MITRE ATT&CK-Details abrufen

Bei vielen Erkennungen wird im Detailbereich der Erkennung die MITRE ATT&CK-Taktik angezeigt.

Klicken Sie auf den Ausklapppfeil neben der Taktik, um die Technik anzuzeigen.

Klicken Sie auf den Link neben einer Taktik oder Technik, zum Beispiel TA0002 Execution im Screenshot unten, um zu den Details auf der MITRE-Website zu gelangen.

MITRE-Details der Erkennungen.

Ähnliche Erkennungen suchen

Klicken Sie im Schieberegler Erkennungsdetails auf Ähnliche Erkennungen. Die ähnlichen Erkennungen werden dann in der Haupttabelle angezeigt.

Hinzufügen von Erkennungen zu einem Fall

Fälle gruppieren verdächtige Ereignisse unter Erkennungen und unterstützen Sie bei der Durchführung forensischer Arbeiten. Siehe Fälle.

Auf der Seite Erkennungen können Sie einem vorhandenen Fall eine Erkennung hinzufügen oder einen neuen Fall erstellen.

Zu einem Fall hinzufügen

  1. Wählen Sie die gewünschten Erkennungen aus der Erkennungsliste aus.

    Seite „Erkennungen“ mit ausgewählten Erkennungen.

  2. Klicken Sie auf Aktionen > Zu Fall hinzufügen.

    Menü „Aktionen“.

  3. Klicken Sie auf einen Fall und anschließend auf Zu Fall hinzufügen.

    Dialogfenster „Zu Fall hinzufügen“.

Der Name des Falls wird in der Spalte Fälle für diese Erkennung und am unteren Rand des Detailfensters angezeigt.

Die Erkennung ist in den Details des Falls auf der Seite Fälle enthalten.

Fall erstellen

Gehen Sie wie folgt vor, um einen neuen Fall zu erstellen und diesem Erkennungen hinzuzufügen:

  1. Wählen Sie in der Liste Erkennungen die zu untersuchenden Erkennungen aus.

    Seite „Erkennungen“ mit ausgewählten Erkennungen.

  2. Klicken Sie Auf Aktionen > Fall erstellen.

    Menü „Aktionen“.

  3. Verfahren Sie unter Fall erstellen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für den Fall ein.
    2. Wählen Sie den Schweregrad aus.
    3. Wählen Sie den Status (Neu oder Analyse).
    4. Wählen Sie einen Bearbeiter aus. Dies ist der Administrator, der den Fall untersucht.
    5. Klicken Sie auf Erstellen.

    Dialogfeld „Fall erstellen“.

Ein Fall wird der Seite Fälle hinzugefügt.

Der Name des Falls wird auch in der Spalte Fälle für diese Erkennung und am unteren Rand des Detailfensters angezeigt.

Suchen nach potenziellen Bedrohungen

Anhand von Erkennungen können Sie Geräte, Prozesse, Benutzer und Ereignisse auf Anzeichen von potenziellen Bedrohungen untersuchen, die andere Sophos-Funktionen nicht blockiert haben. Beispiel:

  • Ungewöhnliche Befehle, die darauf hinweisen, dass versucht wird, Ihre Systeme zu inspizieren und auf ihnen zu bleiben, Sicherheit zu umgehen oder Anmeldeinformationen zu stehlen.
  • Sophos-Malware-Warnungen, z. B. dynamische Shellcode-Prevention-Ereignisse, die darauf hinweisen, dass ein Angreifer möglicherweise ein Gerät infiltriert hat.
  • Runtime-Erkennungen von Linux, wie z. B. Container Escapes, die darauf hinweisen, dass ein Angreifer Berechtigungen vom Containerzugriff eskaliert, um zum Container-Host zu wechseln.

Die meisten Erkennungen sind mit dem MITRE ATT&CK-Framework verknüpft, wo Sie weitere Informationen über die spezifische Taktik und Technik finden können. Siehe https://attack.mitre.org/.

Sie können auch nach Anzeichen einer vermuteten oder bekannten Bedrohung, die Sophos anderswo gefunden hat, oder nach veralteter Software oder unsicheren Browsern suchen.

Hilfe erhalten

Der Sophos Support kann Ihnen nicht helfen, Erkennungen zu untersuchen.

Wenn Sie den MDR-Service (Managed Detection and Response) erwerben, überwachen unsere Analysten Ihre Umgebung auf schädliche Aktivitäten und kontaktieren Sie oder reagieren für Sie rund um die Uhr auf Bedrohungen. Siehe Managed Detection and Response.

Hinweis

Wenn Sie der Meinung sind, dass Ihre Sicherheit kompromittiert wurde und Sie Soforthilfe benötigen, wenden Sie sich an unser „Rapid Response“-Team. Der Service ist kostenpflichtig. Siehe Sophos Rapid Response.