G DATA MXDR
Der Meldungsgraph
Der Meldungsgraph unterstützt Sie dabei, die komplexen Strukturen von beteiligten Prozessen besser nachvollziehen zu können. Dies ist eine nützliche Funktion, wenn beispielsweise ein Sicherheitsvorfall detailliert analysiert werden soll.
Sie können hier alle Prozesse detailliert betrachten, und zwar im Hinblick auf…
-
generelle Prozessdetails.
-
Dateioperationen.
-
Operationen in der Windows-Registry.
-
Netzwerkaktivitäten.
| Der Meldungsgraph ist zurzeit nur für Systeme mit einem Windows-Betriebssystem verfügbar. |
Visualisierung der Prozesse einer Meldung
Diese Übersicht ist der eigentliche Meldungsgraph und zeigt die zur Meldung gehörenden Prozesse an. In dieser visualisierten
Darstellung können Sie sehen, welche Prozesse andere Prozesse aufgerufen oder angesprochen haben und was in diesen dann
vorgegangen ist.
Welcher Prozess hat andere Prozesse aufgerufen und welche Prozesse genau?
Was ist dabei in welchen Dateien im System passiert?
Sind Änderungen in der Windows-Registry erfolgt und wenn ja, was hat sich dort im Detail geändert?
Gab es Kommunikation nach außerhalb und wenn ja, wohin?
Alle diese Fragen können einer eingehenden Analyse unterzogen werden.
Der Graph kann eine große Menge an einzelnen Prozessen beinhalten und entsprechend viel Raum einnehmen. Sie können im Fenster
mit der linken Maustaste den Betrachtungspunkt verschieben und mit dem Mausrad im Graphen heraus- und hineinzoomen. Alternativ
können Sie die dafür vorgesehenen Schaltflächen neben der aktuellen Ansichtsgröße verwenden ().
Links neben den Schaltflächen für das Zoom-Level befindet sich eine Schaltfläche zum Zurücksetzen des Beobachtungspunktes
() auf den initialen Ansichtspunkt und die ursprüngliche Vergrößerungsstufe.
Ein Prozess, der mit einem Warnschild versehen ist, stellt den Kern der Erkennung der jeweiligen Meldung dar. Die Prozesse
können einzeln angewählt werden und sind dann blau hinterlegt. Alle unterhalb des Graphen angezeigten Detail-Informationen
beziehen sich jeweils auf den im Graphen ausgewählten, blau markierten Prozess. Im Default wird die Ansicht des Meldungsgraphen
auf den jeweils ausgewählten Prozess zentriert. Sie können dieses Verhalten mit Klick auf das Zahnrad-Symbol
() anpassen.
| Der Graph bezieht sich auf die Prozesse, die zu einer Meldung gehören, nicht auf die Prozesse aller Meldungen, die zu einem Vorfall gehören! |
Detail-Informationen zu den Prozessen
-
Die Informationen zu den Prozessen sind in die Rubriken Prozessdetails, Dateioperationen, Registryoperationen und Netzwerkoperationen untergliedert.
-
Nicht verdächtige Operationen bieten Kontextinformationen zu den Prozessen, verdächtige Operationen haben direkte Verbindungen zur Erkennung.
-
Mit der Schaltfläche "Zeige nur verdächtige Operationen" werden in den Rubriken Dateioperationen sowie Registryoperationen nur verdächtige Einträge angezeigt.
| Die Einträge innerhalb der Rubriken lassen sich mit Linksklick auf den Spaltennamen alphanumerisch auf- oder absteigend sortieren. |
|
Manche Informationen werden für eine bessere Lesbarkeit abgekürzt dargestellt. Die volle Information kann immer mit Mausover angesehen und bei Bedarf herauskopiert werden. |
Prozessdetails
Hier werden generelle Informationen zu dem Prozess aufgeführt.
Dazu gehören…
-
der Speicherort der Datei im System.
-
der genaue Aufruf, inklusive aller Argumente.
-
die Größe der Datei.
-
der Startzeitpunkt des Prozesses.
-
Angabe, ob die Ausführung mit Admin-Rechten erfolgt ist.
Der Punkt "Verdächtig?" gibt an, ob der gesamte Prozess vom Agent als verdächtig eingestuft wurde.
Dateioperationen
Hier sind alle Dateioperationen aufgeführt, die mit dem jeweiligen Prozess zusammenhängen. Aufgeführte Informationen sind Dateipfad, Zeitpunkt und Art der Operation.
Dateipfad |
Pfad der Datei im System auf die sich die Operation bezieht. |
Operation |
Genaue Art der Dateioperation. Die Möglichkeiten sind…
|
Zeitpunkt |
Genauer Zeitpunkt an dem die Operation gestartet wurde. |
Verdächtig? |
Zeigt an, ob es sich um eine Operation handelt, die bei der Erkennung eine Rolle gespielt hat. |
Registryoperationen
Es werden Informationen zu Veränderungen in der Windows-Registry angezeigt, die der Prozess angestoßen hat. Dies umfasst alle Informationen, die den Schlüssel selbst betreffen, sowie Zeitpunkt und Art der Operation.
Pfad des Schlüssels |
Pfad des Schlüssels innerhalb der Windows-Registry, auf den sich die Operation bezieht. |
Name |
Name des Wertes innerhalb des Schlüssels in der Registry, auf den sich die Operation bezieht. |
Wert |
Wert nach der Operation, wenn vorhanden. |
Operation |
Art der Operation. Die Möglichkeiten sind:
|
Zeitpunkt |
Genauer Zeitpunkt der Operation. |
Verdächtig? |
Zeigt an, ob es sich um eine Operation handelt, die bei der Erkennung eine Rolle gespielt hat. |
Netzwerkoperationen
Hier sind, falls vorhanden, alle vom Prozess ausgelösten Operationen innerhalb des Netzwerks aufgeführt. Dies sind neben Zeitpunkt und Art der Operation, auch alle relevanten Verbindungsdetails.
IP-Adresse |
Bei der Operation "Verbindung hergestellt" die IP-Adresse zu der die Verbindung aufgebaut wurde. Wenn die Operation "Für eingehende Verbindungen geöffnet" vorliegt, wird hier die eigene IP-Adresse angezeigt. |
Port |
Port der für die Verbindung verwendet wurde. |
Protokoll |
Protokoll, das für die Verbindung verwendet wurde. Möglichkeiten sind TCP oder UDP. |
Operation |
Art der Netzwerkoperationen. Die Möglichkeiten sind:
|
Zeitpunkt |
Genauer Zeitpunkt der Netzwerkoperationen. |