G DATA 365 | Managed EDR

Incident Report

Der Incidents Report enthält eine Übersicht des Incidents. Hier finden Sie alle Informationen zu dem Incident inklusive aller Zeiträume, Status, Handlungsempfehlungen und Alerts.

Den Incident Report erreichen Sie über zwei verschiedene Wege:

  • über 365 Managed EDR > Incidents > Klick auf einen Incident > Klick auf den Button Detaillierten Verlauf anzeigen 05

  • über 365 Managed EDR > Incidents > Klick auf die Lupe Lupe eines Incidents in der Spalte Aktion

  • Über Handlungsempfehlungen > Klick auf die Handlungsempfehlung > Klick auf Link

03

 

Incident Report: #[Incident-ID]

Zeitraum

Hier sehen Sie den Zeitraum des Incidents. Das erste Datum zeigt an, wann der erste Alert des Incidents im Portal aufgetreten ist. Das zweite Datum ist der Zeitpunkt zu dem der G DATA Security Analyst den Incident geschlossen hat.

Status

Neu

Dieser Status wird automatisch vom Managed EDR gesetzt. Der Status bedeutet, dass das Portal automatisch einen neuen Incident erkannt hat, dieser aber noch nicht von einem G DATA Security Analysten untersucht wurde. Somit hat dieser Incident noch keine Priorisierung.

Der Incident erhält auch dann den Status Neu, wenn er bereits einen anderen Status hatte, nun aber ein neuer Alert hinzugekommen ist.

Automatisch behoben

Dieser Status wird automatisch vom Managed EDR gesetzt. Er wird automatisch gesetzt, wenn kein G DATA Security Analyst benötigt wird, um den Alert zu schließen. Das ist beispielsweise dann der Fall, wenn Alerts immer wieder auftreten, bei denen bereits mehrfach geklärt wurde, dass sie keine Gefahr darstellen, sondern zum Arbeitsalltag gehören. Dann muss kein Security Analyst mehr eingreifen und der Alert erhält automatisch den Status Automatisch behoben.

In Bearbeitung

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status bedeutet, dass der G DATA Security Analyst den Incident aktuell untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Analyst den Status ändern.

Behoben

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status bedeutet, dass der G DATA Security Analyst die Arbeit an dem Incident abgeschlossen hat. Es ist jedoch möglich, dass kundenseitig noch eine offene Handlungsempfehlung vorliegt.

Zurückgestellt

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status wird dann gesetzt, wenn der G DATA Security Analyst zu dem Zeitpunkt nicht weiter arbeiten kann, weil er auf eine Rückmeldung oder die Ausführung einer Handlungsempfehlung des Kunden wartet.

Endpunkt

Hier erfahren Sie, auf welchen Endpunkt sich der Incident bezieht. Wenn mehrere Endpunkte betroffen sind, sind hier mehrere Endpunkte angegeben.

Priorität

Hier erfahren Sie, ob der Incident die Priorität Niedrig, Mittel oder Hoch hat. Standardmäßig erhält der Incident die Priorität Mittel. Die Priorisierung wird manuell von den G DATA Security Analysten geändert. Wenn die Priorisierung Hoch vergeben wurde, wartet der Security Analyst gegebenenfalls auf eine Rückmeldung des Kunden oder auf die Ausführung einer Handlungsempfehlung.

 

Handlungsempfehlungen

Feld Ampel-Symbol

Punkt gelb Wenn die Handlungsanweisung einen gelben Status hat, ist es erforderlich, dass Sie eine Aktion ausführen. Welche Aktion dies ist, erfahren Sie in der Spalte Handlungsempfehlung. Die Aktion ist nicht dringend erforderlich, sollte aber dennoch vorgenommen werden.

Punkt rot Wenn die Handlungsanweisung einen roten Status hat, ist es dringend erforderlich, dass Sie eine Aktion ausführen. Welche Aktion dies ist, erfahren Sie in der Spalte Handlungsempfehlung. Diese Aktion sollte zeitlich nicht hinausgezögert werden.

Spalte Endpunkt

In dieser Spalte erfahren Sie, auf welchen Endpunkt sich die Handlungsanweisung bezieht. Wenn mehrere Endpunkte betroffen sind, sind hier mehrere Endpunkte angegeben. (Ist das dann aufklappbar?)

Spalte Handlungsempfehlung

In dieser Spalte erfahren Sie, welche Aktion Ihnen empfohlen wird (=Handlungsempfehlung). Die Handlungsempfehlungen, die hier aufgeführt sind, wurden von einem Security Analysten von G DATA erstellt.

Spalte Erstellt

In dieser Spalte erfahren Sie, an welchem Tag und zu welcher Uhrzeit die Handlungsempfehlung erstellt wurde. Die Handlungsempfehlung wurde von einem Security Analysten von G DATA erstellt.

Spalte Aktion

In dieser Spalte können Sie die Handlungsempfehlungen als "Erledigt" kennzeichnen und dies wieder rückgängig machen, also sie als "Nicht Erledigt" kennzeichnen.

HakenBlau Wenn der Haken blau ist, ist er klickbar. Wenn Sie den blauen Haken klicken, kennzeichnen Sie die Handlungsempfehlung als "Erledigt". Dann wird der Haken ausgegraut. Auch die Handlungsempfehlung wird anschließend ausgegraut.

HakenGrau Wenn der Haken grau ist, ist er nicht editierbar. Das bedeutet, die Handlungsempfehlung ist als "Erledigt" markiert und entsprechend ausgegraut.

RückgängigBlau Wenn der Pfeil blau ist, ist er klickbar. Wenn Sie den blauen Pfeil klicken, setzen Sie den Status der Handlungsempfehlung wieder auf "Nicht Erledigt". Dann wird der Pfeil ausgegraut.

RückgängigGrau Wenn der Pfeil grau ist, ist er nicht editierbar. Dann ist die Handlungsempfehlung als "Nicht Erledigt" markiert.

 

Alerts

Name

Hier finden Sie den Namen des Alerts. Dabei wird der Alert von der Detection von G DATA klassifiziert und anschließend entsprechend der jeweiligen Erkennung automatisch benannt.

Die Detection von G DATA

Die Detection von G DATA ist eine umfassende Erkennungstechnologie, die auch im Managed EDR im Hintergrund nach Gefahren sucht und bei Erkennungen entsprechende Meldungen ausgibt. Diese Erkennungen werden von den G DATA Security Analysten manuell untersucht.

Endpunkt

In dieser Spalte finden Sie den Endpunkt, auf den sich der Alert bezieht.

Betroffene Artefakte

Hier werden Ihnen die Dateien, Prozesse und Registry-Einträge angezeigt, die von der Detection von G DATA entfernt oder in Quarantäne verschoben wurden.

Datum

In dieser Spalte sehen Sie das Datum und die Uhrzeit, an dem der Alert vom System erkannt wurde.

Status

Hier sehen Sie den Status des Alerts. Genauso wie beim Incident gibt es die Status Neu, Automatisch behoben, In Bearbeitung, Behoben und Zurückgestellt. Grundsätzlich sind die Status der Incidents und ihrer Alerts jedoch nicht identisch, sondern werden unterschiedlich gesetzt. Wie beim Incident werden die Status Neu und Automatisch behoben vom Managed EDR gesetzt, währen die Status In Bearbeitung, Behoben und Zurückgestellt manuell vom Virenanalysten gesetzt werden.

Wenn der Status der Alerts innerhalb eines Incidents nicht Behoben oder Automatisch behoben ist, kann der Incident nicht geschlossen werden.

Klassifizierung

In diesem Feld finden Sie die Einschätzung des G DATA Security Analysten, ob es sich bei dem Alert um einen True Positive oder um einen False Positive handelt. Wenn der Analyst noch keine Einschätzung abgegeben hat, steht hier Keine.