G DATA 365 | MXDR

Gesamtübersicht eines Vorfalls

Jeder Vorfall kann auf seiner Detailansicht in seiner Gesamtheit betrachtet werden. Hier sind alle wichtigen Informationen, die mit dem jeweiligen Vorfall zusammenhängen, zusammengefasst.

G DATA 365 | MXDR Vorfall-Detailsicht

Bereich Details

In diesem Bereich können Sie auf einen Blick den aktuellen Status des Vorfalls, Dringlichkeit und Auswirkung, sowie die betroffenen Endpunkte erfassen. Zudem sind Zeitraum und betroffene Organisationen, sowie unterhalb von Status ein kurzer Beschreibungstext aufgeführt.

Betroffene Endpunkte sind nach kritisch und nicht-kritisch gruppiert.

Relevanz von Handlungsempfehlungen (→ Priorität) und Vorfällen (→ Auswirkung)

Damit wichtige Handlungsempfehlungen sofort von weniger wichtigen Informationen herausstechen, erhalten sowohl Vorfälle als auch Handlungsempfehlungen eine farbliche Markierung entsprechend der Einschätzung ihrer Wichtigkeit.

Zur Begrifflichkeit, G DATA verwendet im Kontext von Vorfällen den Begriff "Auswirkung" und bei Handlungsempfehlungen den Begriff "Priorität".

Ein Vorfall kann die Auswirkung Keine, Niedrig, Mittel, Hoch oder Schwerwiegend haben. Standardmäßig erhält der Vorfall die Auswirkung Mittel. In manchen Fällen wird die Auswirkung manuell von den G DATA Security Analysten geändert. Wurde die Auswirkung Hoch oder Schwerwiegend vergeben, wartet ein G DATA Security Analysten gegebenenfalls dringlich auf eine Rückmeldung oder auf die Ausführung einer Handlungsempfehlung. In diesem Fall sehen Sie die farbliche Markierung des Vorfalls mit einer roten Status-Kennzeichnung.

Handlungsempfehlungen können die Priorität Niedrig, Mittel oder Hoch haben, und sollten entsprechend behandelt werden.

Diese verschiedenen farblichen Ausprägungen gibt es:

grün

Wenn eine grüne Markierung vorliegt, gibt es für Sie nichts zu tun. In diesem Fall konnte G DATA die Gefahr beseitigen und für Sie fallen keine Aufgaben an.

gelb

Wenn eine gelbe Markierung vorliegt, ist es erforderlich, dass Sie eine Aktion ausführen. Die Aktion ist nicht dringend erforderlich, sollte aber vorgenommen werden.

rot

Wenn eine rote Markierung vorliegt, ist es dringend erforderlich, dass Sie eine Aktion ausführen.
Diese Aktion sollte zeitlich nicht hinausgezögert werden!

grau

Wenn eine graue Markierung vorliegt, ist G DATA aktuell beschäftigt, das Problem zu lösen. Nachdem die G DATA Security Analysten den Vorgang abgeschlossen haben, ändert sich der Status auf Rot, Gelb oder Grün.

Der Status eines Vorfalls

Mit Status ist der aktuelle Stand der Bearbeitung gemeint. Einige Status werden automatisch von unserem Cloud-Backend gesetzt, andere werden durch die G DATA Security Analysten gesetzt.

Neu

Es liegt ein neuer Vorfall vor. Sobald ein G DATA Security Analyst den Vorfall untersucht wird der Status aktualisiert.

Ein Vorfall erhält auch dann den Status Neu, wenn er bereits einen anderen Status hatte, aber eine neue Meldung hinzugekommen ist.

Automatisch behoben

Der Vorfall wurde automatisch vom G DATA Agent behoben.
Dies ist beispielsweise der Fall, wenn eine als infiziert bekannte Datei aus dem Internet heruntergeladen werden sollte, der G DATA Agent den Download jedoch verhindert hat. Hier müssen keine G DATA Security Analysten eingreifen und die Meldung erhält den Status Automatisch behoben.

In Bearbeitung

Der Vorfall wird aktuell von einem G DATA Security Analysten untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Status aktualisiert.

Behoben

Der Vorfall wurde von einem G DATA Security Analysten behoben. Falls Ihnen noch offene Handlungsempfehlungen angezeigt werden, setzen Sie diese bitte um.

Zurückgestellt

Die Bearbeitung des Vorfalls pausiert. Wir warten auf interne Analyseergebnisse oder Ihr Feedback. Anschließend wird der Vorfall weiter bearbeitet.

Erneute Bearbeitung

Der Vorfall wird erneut von einem G DATA Security Analysten untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Status aktualisiert.

Mitwirken erforderlich

Bitte setzen Sie die angezeigte Handlungsempfehlung um.

Analyse wird durchgeführt

Der Vorfall wird einer umfangreichen Analyse unterzogen. Dies kann einige Zeit in Anspruch nehmen. Wir melden uns, sofern ein Mitwirken erforderlich ist.

Warten auf G DATA Agent

Die Bearbeitung des Vorfalls pausiert. Wir warten auf die Rückmeldung des G DATA Agent. Anschließend wird der Vorfall weiter bearbeitet.

Bereich Handlungsempfehlungen

Im rechten Block der Gesamtübersicht sehen Sie eine Liste aller zu diesem Vorfall gehörenden Handlungsempfehlungen. Handlungsempfehlungen werden Ihnen durch unsere G DATA Security Analysten zu einem Vorfall gegeben.

Dies können

  • einfache Tipps und Tricks zur Vermeidung von Vorfällen sein,

  • einfache Tätigkeiten, die vorzunehmen sind (wie zum Beispiel ein Reboot)

  • oder komplexe Handlungen die notwendig sind, um Schaden schnellstmöglich zu verhindern oder zu begrenzen.

Es gibt vier Spalten in der Liste der Handlungsempfehlungen.

Ampel-Symbol

Hier wird die Priorität der Handlungsempfehlung angezeigt.

Endpunkt

Hier ist der betroffene Endpunkt für die Handlungsempfehlung aufgeführt.

Handlungsempfehlung

Die Bezeichnung der Handlungsempfehlung.

Die Spalte Aktion

Lupe

Mit einem Klick auf die Lupe öffnet sich die Detailseite.

Haken Blau

Ist der Haken in dieser Spalte blau, wurde die Handlungsempfehlung von Ihnen noch nicht als erledigt gekennzeichnet. Wenn Sie den blauen Haken klicken, kennzeichnen Sie die Handlungsempfehlung als Erledigt. Der Haken erscheint danach ausgegraut.

Rueckgaengig Blau

Ist der Pfeil blau, wurde die Handlungsempfehlung von Ihnen bereits als erledigt gekennzeichnet. Wenn Sie den blauen Pfeil klicken, setzen Sie den Status der Handlungsempfehlung wieder auf Nicht Erledigt zurück.

Stoppschild

Mit Klick auf dieses Symbol können Sie die Handlungsempfehlung ablehnen. Bitte beachten Sie, dass dies das Eintragen einer Antwort erfordert, und Sie für jede Handlungsempfehlung nur einmal eine Antwort eintragen können.

Verlauf (Timeline)

In dieser chronologisch geordneten Übersicht sind alle Interaktionen aufgeführt, die zu einem Vorfall gehören. Das können die Meldungen an sich sowie deren Aktualisierungen sein, und alle zum Vorfall gehörenden Handlungsempfehlungen und Dateioperationen. Alle Einträge sind mit Datum und genauem Zeitstempel versehen und lassen sich aufklappen für weitere Details. Damit kann der komplette Vorfall sehr genau nachvollzogen werden.

Vorfall Verlauf

Der Verlauf zeigt per Default drei Ereignisse an und lässt sich mit Klick auf Mehr anzeigen aufklappen.

Meldungsgraph

Über den Verlauf können Sie sich den Meldungsgraphen zum jeweiligen Vorfall anschauen. Wählen Sie dafür einen Eintrag im Verlauf aus und klicken Sie dann auf Meldungsgraph anzeigen. Bitte beachten Sie, dass der Meldungsgraph nur für Meldungen zur Verfügung steht, die mit Erkennungen verbunden sind, und ab August 2024 angelegt wurden.

Alert graph
Sie können auch aus der Liste der Meldungen mit Klick das Meldungsgraph Icon Symbol zum Meldungsgraphen gelangen.

Bereich Meldungen (Alerts)

Im unteren Block der Gesamtübersicht finden Sie die Liste mit den zu diesem Vorfall zugeordneten Meldungen.

Liste der Meldungen

Name

Dies sind die Namen, die der Sensor diesem Vorfall zuordnen konnte. Zum Beispiel einen Virennamen.

Endpunkt

Hier sind die Endpunkte angegeben, auf denen Meldungen aufgetreten sind. Sind mehrere Meldungen für einen Endpunkt aufgetreten, sehen Sie in jeder Zeile den gleichen Endpunkt.
Es kann vorkommen, dass Sensoren auf verschiedenen Endpunkten eine Meldung ausgegeben haben und diese alle einem Vorfall zuzuordnen sind. In diesem Fall sehen Sie in dieser Spalte verschiedene Endpunkte angezeigt.

Spalte Betroffene Artefakte

An dieser Stelle wird Ihnen angezeigt, welche Dateien oder Prozesse bei diesem Vorfall betroffen waren.

Datum

Datum und Uhrzeit der Meldung.

Status

Hier sehen Sie den Status des Vorfalls zu dem die Meldung gehört.

Klassifizierung

In dieser Spalte wird Ihnen angezeigt, ob es sich um eine berechtigte Meldung (True Positive) oder einen Fehlalarm (False Positive) handelt.
Meldungsgraph Icon

Mit Klick auf dieses Icon kommen Sie direkt zu dem zur Meldung gehörenden Meldungsgraphen.

Weitere Details der Meldung

Mit einem Klick auf einen Eintrag in der Liste öffnet sich rechts ein Detailfenster zur jeweiligen Meldung.

Screenshot anzeigen
Detailseite Alert

Die Detailseite zeigt Ihnen eine Zusammenfassung der wichtigsten Informationen, wie

  • den Namen, den der meldende Sensor übermittelt hat,

  • wann der Alarm aufgetreten ist,

  • welchen Status er hat und

  • wie er klassifiziert wurde.

Unter Betroffene Artefakte sehen Sie, auf welche Datei oder auf welchen Prozess der Sensor des G DATA Agenten angeschlagen hat, sowie seine Reaktion darauf.

In unserem Beispiel (siehe Screenshot), wurde eine Datei erkannt und in Quarantäne verschoben.

Falls wir einen SHA256 Hash-Wert ermitteln konnten, wird er Ihnen ebenfalls an dieser Stelle angezeigt.