G DATA 365 | MXDR

Gesamtübersicht eines Vorfalls

Jeder Vorfall kann in einer Gesamtseite betrachtet werden, in der alle wichtigen Informationen auf einen Blick eingesehen werden können.

G DATA 365 | MXDR Vorfall-Detailsicht

Relevanz von Handlungsempfehlungen (→ Priorität) und Vorfällen (→ Auswirkung)

Damit wichtige Handlungsempfehlungen sofort von weniger wichtigen Informationen herausstechen, erhalten sowohl Vorfälle als auch Handlungsempfehlungen eine farbliche Markierung entsprechend der Einschätzung ihrer Wichtigkeit.

Zur Begrifflichkeit, G DATA verwendet im Kontext von Vorfällen den Begriff "Auswirkung" und bei Handlungsempfehlungen den Begriff "Priorität".

Ein Vorfall kann die Auswirkung Keine, Niedrig, Mittel, Hoch oder Schwerwiegend haben. Standardmäßig erhält der Vorfall die Auswirkung Mittel. In manchen Fällen wird die Auswirkung manuell von den G DATA Security Analysten geändert. Wurde die Auswirkung Hoch oder Schwerwiegend vergeben, wartet ein G DATA Security Analysten gegebenenfalls dringlich auf eine Rückmeldung oder auf die Ausführung einer Handlungsempfehlung. In diesem Fall sehen Sie die farbliche Markierung des Vorfalls mit einer roten Status-Kennzeichnung.

Handlungsempfehlungen können die Priorität Niedrig, Mittel oder Hoch haben, und sollten entsprechend behandelt werden.

Diese verschiedenen farblichen Ausprägungen gibt es:

grün

Wenn eine grüne Markierung vorliegt, gibt es für Sie nichts zu tun. In diesem Fall konnte G DATA die Gefahr beseitigen und für Sie fallen keine Aufgaben an.

gelb

Wenn eine gelbe Markierung vorliegt, ist es erforderlich, dass Sie eine Aktion ausführen. Die Aktion ist nicht dringend erforderlich, sollte aber vorgenommen werden.

rot

Wenn eine rote Markierung vorliegt, ist es dringend erforderlich, dass Sie eine Aktion ausführen.
Diese Aktion sollte zeitlich nicht hinausgezögert werden!

grau

Wenn eine graue Markierung vorliegt, ist G DATA aktuell beschäftigt, das Problem zu lösen. Nachdem die G DATA Security Analysten den Vorgang abgeschlossen haben, ändert sich der Status auf Rot, Gelb oder Grün.

Der Status eines Vorfalls

Mit Status ist der aktuelle Stand der Bearbeitung gemeint. Einige Status werden automatisch von unserem Cloud-Backend gesetzt. Die automatisch gesetzten Status sind Neu und Automatisch behoben.

Neu

Dieser Status bedeutet, dass dem Portal ein neuer Vorfall gemeldet wurde, dieser aber noch nicht untersucht wurde. Ein Vorfall erhält auch dann den Status Neu, wenn er bereits einen anderen Status hatte, aber eine neue Meldung hinzugekommen ist.

Automatisch behoben

Dieser Status bedeutet, dass keine G DATA Security Analysten benötigt werden, um die Meldung zu schließen. Dies ist beispielsweise der Fall, wenn eine als infiziert bekannte Datei aus dem Internet heruntergeladen werden sollte, der G DATA Agent den Download jedoch verhindert hat. Hier müssen keine G DATA Security Analysten eingreifen und die Meldung erhält den Status Automatisch behoben.

Manche Status werden von den G DATA Security Analysten händisch gesetzt. Das sind In Bearbeitung, Behoben und Zurückgestellt.

In Bearbeitung

Dieser Status bedeutet, dass ein G DATA Security Analysten den Vorfall aktuell untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Analyst den Status ändern.

Behoben

Dieser Status bedeutet, dass ein G DATA Security Analyst die Arbeit an dem Vorfall abgeschlossen hat. Es ist jedoch möglich, dass kundenseitig noch offene Handlungsempfehlungen vorliegen.

Zurückgestellt

Dieser Status wird dann gesetzt, wenn ein G DATA Security Analyst zu diesem Zeitpunkt nicht weiter arbeiten kann, weil er auf eine Rückmeldung oder auf die Ausführung von Handlungsempfehlungen durch Kunden wartet.

Bereich Handlungsempfehlungen

Im rechten Block der Gesamtübersicht sehen Sie eine Liste aller zu diesem Vorfall gehörenden Handlungsempfehlungen. Handlungsempfehlungen werden Ihnen durch unsere G DATA Security Analysten zu einem Vorfall gegeben.

Dies können

  • einfache Tipps und Tricks zur Vermeidung von Vorfällen sein,

  • einfache Tätigkeiten, die vorzunehmen sind (wie zum Beispiel ein Reboot)

  • oder komplexe Handlungen die notwendig sind, um Schaden schnellstmöglich zu verhindern oder zu begrenzen.

Es gibt vier Spalten in der Liste der Handlungsempfehlungen.

Ampel-Symbol

Hier wird die Priorität der Handlungsempfehlung angezeigt.

Endpunkt

Hier ist der betroffene Endpunkt für die Handlungsempfehlung aufgeführt.

Handlungsempfehlung

Die Bezeichnung der Handlungsempfehlung.

Die Spalte Aktion

Haken Blau

Ist der Haken in dieser Spalte blau, wurde die Handlungsempfehlung von Ihnen noch nicht als erledigt gekennzeichnet. Wenn Sie den blauen Haken klicken, kennzeichnen Sie die Handlungsempfehlung als Erledigt. Der Haken erscheint danach ausgegraut.

Rueckgaengig Blau

Ist der Pfeil blau, wurde die Handlungsempfehlung von Ihnen bereits als erledigt gekennzeichnet. Wenn Sie den blauen Pfeil klicken, setzen Sie den Status der Handlungsempfehlung wieder auf Nicht Erledigt zurück.

Mit einem Klick auf die Zeile der Handlungsempfehlungen öffnet sich die Detailseite.

Screenshot anzeigen
Detailseite Handlungsempfehlung

Auf dieser Seite sehen Sie die Handlungsempfehlung mit vollständigem Text. Auch auf dieser Seite können Sie die Handlungsempfehlung als Erledigt kennzeichnen. Klicken Sie hierzu auf Jetzt schließen.

Verlauf (Timeline)

In dieser chronologisch geordneten Übersicht sind alle Interaktionen aufgeführt, die zu einem Vorfall gehören. Das können die Meldungen an sich sowie deren Aktualisierungen sein, und alle zum Vorfall gehörenden Handlungsempfehlungen und Dateioperationen. Alle Einträge sind mit Datum und genauem Zeitstempel versehen und lassen sich aufklappen für weitere Details. Damit kann der komplette Vorfall sehr genau nachvollzogen werden.

Screenshot anzeigen
Vorfall Verlauf

Meldungen (Alerts)

Im unteren Block der Gesamtübersicht finden Sie die Liste mit den zu diesem Vorfall zugeordneten Meldungen.

Name

Dies sind die Namen, die der Sensor diesem Vorfall zuordnen konnte. Zum Beispiel einen Virennamen.

Endpunkt

Hier sind die Endpunkte angegeben, auf denen Meldungen aufgetreten sind. Sind mehrere Meldungen für einen Endpunkt aufgetreten, sehen Sie in jeder Zeile den gleichen Endpunkt.
Es kann vorkommen, dass Sensoren auf verschiedenen Endpunkten eine Meldung ausgegeben haben und diese alle einem Vorfall zuzuordnen sind. In diesem Fall sehen Sie in dieser Spalte verschiedene Endpunkte angezeigt.

Spalte Betroffene Artefakte

An dieser Stelle wird Ihnen angezeigt, welche Dateien oder Prozesse bei diesem Vorfall betroffen waren.

Datum

Datum und Uhrzeit der Meldung.

Status

Hier sehen Sie den Status des Vorfalls zu dem die Meldung gehört.

Klassifizierung

In dieser Spalte wird Ihnen angezeigt, ob es sich um eine berechtigte Meldung (True Positive) oder einen Fehlalarm (False Positive) handelt.

Weitere Details der Meldung

Mit einem Klick auf einen Eintrag inder Liste öffnet sich rechts ein Detailfenster zur jeweiligen Meldung.

Screenshot anzeigen
Detailseite Alert

Die Detailseite zeigt Ihnen eine Zusammenfassung der wichtigsten Informationen, wie

  • den Namen, den der meldende Sensor übermittelt hat,

  • wann der Alarm aufgetreten ist,

  • welchen Status er hat und

  • wie er klassifiziert wurde.

Unter Betroffene Artefakte sehen Sie, auf welche Datei oder auf welchen Prozess der Sensor des G DATA Agenten angeschlagen hat, sowie seine Reaktion darauf.

In unserem Beispiel (siehe Screenshot), wurde eine Datei erkannt und in Quarantäne verschoben.

Falls wir einen SHA256 Hash-Wert ermitteln konnten, wird er Ihnen ebenfalls an dieser Stelle angezeigt.