G DATA 365 | MXDR

Der Meldungsgraph

Der Meldungsgraph hilft Ihnen dabei, Meldungen mit einer komplexen Struktur involvierter Prozesse besser nachvollziehen zu können. Dies ist hilfreich, wenn z.B. ein Vorfall im Detail aufgearbeitet werden soll.

Meldungsgraph volle View

Sie können hier alle Prozesse detailliert betrachten, und zwar im Hinblick auf

  • Generelle Prozessdetails,

  • Dateioperationen,

  • Operationen in der Windows-Registry,

  • Netzwerkaktivitäten.

Der Meldungsgraph ist zurzeit nur für Systeme mit einem Windows-Betriebssystem verfügbar.

Visualisierung Darstellung der Prozesse der Meldung

Meldungsgraph Verlauf

Dies ist der eigentliche Meldungsgraph und zeigt die zur Meldung gehörenden Prozesse an. In dieser visualisierten Darstellung können Sie sehen, welche Prozesse andere Prozesse ausgelöst haben und was in dieses dann vorgegangen ist.
Welcher Prozess hat andere Prozesse ausgelöst und welche? Was ist dabei in welchen Dateien im System passiert? Sind Änderungen in der Windows-Registry erfolgt und wenn ja was hat sich dort im Detail geändert? Gab es Kommunikation nach außerhalb und wohin?
Alle diese Fragen können einer eingehenden Analyse unterzogen werden.

Der Graph kann eine große Menge an einzelnen Prozessen beinhalten und entsprechend viel Raum einnehmen. Sie können im Fenster mit der linken Maustaste den Betrachtungspunkt verschieben und mit dem Mausrad im Graphen heraus- und hineinzoomen. Alternativ können Sie die dafür vorgesehenen Schaltflächen neben der aktuellen Ansichtsgröße verwenden (Zool-Level).
Links neben den Schaltflächen für das Zoom-Level befindet sich eine Schaltfläche zum Zurücksetzen des Beobachtungspunktes (Reset Button) auf den initialen Ansichtspunkt und die ursprüngliche Vergrößerungsstufe.

Ein Prozess, der mit einem Warnschild versehen ist, stellt den Kern der Erkennung der jeweiligen Meldung dar. Die Prozesse können einzeln angewählt werden und sind dann blau hinterlegt. Alle unterhalb des Graphen angezeigten Detail-Informationen beziehen sich jeweils auf den im Graphen ausgewählten, blau markierten Prozess. Im Default wird die Ansicht des Meldungsgraphen auf den jeweils ausgewählten Prozess zentriert. Sie können dieses Verhalten mit Klick auf das Zahnrad-Symbol (Einstellungssymbol) anpassen.

Der Graph bezieht sich auf die Prozesse, die zu einer Meldung gehören, nicht auf die Prozesse aller Meldungen, die zu einem Vorfall gehören!

Detail-Informationen zu den Prozessen

Die Informationen zu den Prozessen sind in die Rubriken Prozessdetails, Dateioperationen, Registryoperationen und Netzwerkoperationen untergliedert. Nicht verdächtige Operationen bieten Kontextinformationen zu den Prozessen, verdächtige Operationen haben direkte Verbindungen zur Erkennung. Mit der Schaltfläche "Zeige nur verdächtige Operationen" werden in den Rubriken Dateioperationen sowie Registryoperationen nur verdächtige Einträge angezeigt.

Die Einträge innerhalb der Rubriken lassen sich mit Linksklick auf den Spaltennamen alphanumerisch auf- oder absteigend sortieren.

Einige Informationen können aufgrund der Lesbarkeit abgekürzt dargestellt werden. Sie können aber immer mittels Maus-Over die volle Information ansehen und bei Bedarf herauskopieren.

Maus-Over-Tooltip

Prozessdetails

Hier werden generelle Informationen zu dem Prozess aufgeführt, wie der Speicherort der Datei im System, der genaue Aufruf inklusive aller Argumente, die Größe der Datei, der Startzeitpunkt des Prozesses und ob die Ausführung mit Admin-Rechten erfolgt ist.

Prozessdetails

Der Punkt "Verdächtig?" gibt an, ob der gesamte Prozess vom Agent als verdächtig eingestuft wurde.

Dateioperationen

Hier sind alle Dateioperationen aufgeführt, die mit dem jeweiligen Prozess zusammenhängen. Aufgeführte Informationen sind Dateipfad, Zeitpunkt und Art der Operation.

Dateioperationen

Dateipfad

Pfad der Datei im System auf die sich die Operation bezieht.

Operation

Genaue Art der Dateioperation. Die Möglichkeiten sind:

  • "Datei geschlossen"

  • "Datei erstellt"

  • "Datei gelöscht"

  • "Datei ausgeführt"

  • "Datei geöffnet"

  • "Datei gelesen"

  • "Datei umbenannt"

  • "Dateiinformationen verändert"

  • "Datei geschrieben"

Zeitpunkt

Genauer Zeitpunkt an dem die Operation gestartet wurde.

Verdächtig?

Zeigt an, ob es sich um eine Operation handelt, die bei der Erkennung eine Rolle gespielt hat.

Registryoperationen

Informationen zu Veränderungen in der Windows Registry, die vom Prozess angestoßen wurden. Dies sind alle Informationen den Schlüssel an sich betreffend, sowie Zeitpunkt und Art der Operation.

Registryoperationen

Pfad des Schlüssels

Pfad innerhalb der Windows-Registry des Schlüssels, auf den sich die Operation bezieht.

Name

Name des Wertes innerhalb des Schlüssels in der Registry, auf den sich die Operation bezieht.

Wert

Wert nach der Operation, wenn vorhanden.

Operation

Art der Operation. Die Möglichkeiten sind:

  • "Schlüssel erstellt"

  • "Schlüssel geöffnet"

  • "Schlüssel gelöscht"

  • "Wert gelöscht"

  • "Wert gesetzt"

Zeitpunkt

Genauer Zeitpunkt der Operation.

Verdächtig?

Zeigt an, ob es sich um eine Operation handelt, die bei der Erkennung eine Rolle gespielt hat.

Netzwerkoperationen

Hier sind, falls vorhanden, alle Operationen innerhalb des Netzwerks aufgeführt, die vom Prozess ausgelöst wurden. Dies sind neben, Zeitpunkt und Art der Operation, auch alle relevanten Verbindungsdetails.

Netzwerkoperationen

IP-Adresse

Bei der Operation "Verbindung hergestellt" die IP-Adresse zu der die Verbindung aufgebaut wurde. Wenn die Operation "Für eingehende Verbindungen geöffnet" vorliegt, wird hier die eigene IP-Adresse angezeigt.

Port

Port der für die Verbindung verwendet wurde.

Protokoll

Protokoll, das für die Verbindung verwendet wurde. Möglichkeiten sind TCP oder UDP.

Operation

Art der Netzwerkoperationen. Die Möglichkeiten sind:

  • "Verbindung hergestellt"

  • "Für eingehende Verbindungen geöffnet"

Zeitpunkt

Genauer Zeitpunkt der Netzwerkoperationen.