G DATA 365 | Managed EDR

Incidents

 

365 Managed EDR > Incidents

01

Seite nicht sichtbar?

Wenn Sie die Seite Incidents nicht sehen können, hat Ihr Benutzer nicht die Berechtigung Incidents einzusehen. Mehr zu diesem Thema erfahren Sie in Kapitel → Rollen anlegen.

Feld Organisationseinheit

Die Organisationseinheit, die hier ausgewählt ist, bestimmt, welche Incidents in der Tabelle angezeigt werden. Es werden nur die Incidents der Endpunkte angezeigt, die in der Organisationseinheit aufgehängt sind.

Feld Suchen

Wenn Sie hier die Nummer eines Incidents eingeben, filtert das Portal die Namen des Incidents in der Tabelle. Die Ausgabe wird bereits gefiltert, nachdem Sie den dritten Buchstaben eingegeben haben.

Spalte Spalte Incident

In dieser Spalte sehen Sie den Status des Incidents. Folgende Status gibt es:

grün Wenn der Incident einen grünen Status hat, gibt es für Sie nichts zu tun. In diesem Fall konnte G DATA die Gefahr beseitigen und für Sie fallen keine Aufgaben an.

gelb Wenn der Incident einen gelben Status hat, ist es erforderlich, dass Sie eine Aktion ausführen. Die Aktion ist nicht dringend erforderlich, sollte aber dennoch vorgenommen werden.

rot Wenn der Incident einen roten Status hat, ist es dringend erforderlich, dass Sie eine Aktion ausführen. Diese Aktion sollte zeitlich nicht hinausgezögert werden.

grau Wenn der Incident einen grauen Status hat, ist G DATA aktuell damit beschäftigt, das Problem zu lösen. Nachdem G DATA den Vorgang abgeschlossen hat, ändert sich der Status entweder auf Rot, Gelb oder Grün.

Spalte Incident

In dieser Spalte finden Sie die ID des Incidents. Die ID ist eine Nummer, die aus der Tenant-ID, dem Jahr und einer fortlaufenden Nummer besteht.

Mit Hilfe des Pfeils vor der Nummer können Sie den Incident aufklappen und finden weitere Informationen zum Incident vor.

Spalte Endpunkt

In dieser Spalte finden Sie die Anzahl an Endpunkten, die von dem Incident betroffen sind.

Wenn Sie den Incident aufklappen, können Sie die Namen der Endpunkte einsehen.

Spalte Alert

In dieser Spalte finden Sie den oder die Alerts. Wenn der Incident nur aus einem Alert besteht, wird - auch wenn Sie den Incident nicht aufklappen - der Name des Alerts hier angezeigt. Wenn sich mehrere Alerts in einem Incident befinden, wird nur die Anzahl der Alerts innerhalb des Incidents angezeigt. Die Namen der Alerts werden dann nur angezeigt, wenn Sie den Incident aufklappen.

Mehr zum Thema Alerts finden Sie in Kapitel Sicherheits-Vorfälle in Ihrem IT-Netzwerk: Incidents

02

Spalte Zeit

In dieser Spalte finden Sie den Tag und den Zeitpunkt, an dem der erste Alert innerhalb des Incidents gemeldet wurde.

Spalte Behoben

In dieser Spalte wird angezeigt, zu welcher Uhrzeit der Alert behoben wurde.

Spalte Empfehlungen

In dieser Spalte finden Sie die Weiterleitung zu den Handlungsempfehlungen bezüglich dieses Incidents. Wenn Sie auf die Lupe Lupe klicken, werden Sie zum Incident Report weitergeleitet.

Elemente pro Seite

Elemente pro Seite

Hier wird angezeigt, wie viele Zeilen auf einer Seite angezeigt werden. Wenn Sie auf den kleinen Pfeil klicken, können Sie eine andere Anzahl auswählen.

Anzeige

Anzeige

Hier wird angezeigt, wie viele Seiten mit Benutzern insgesamt bestehen und auf welcher Seite davon Sie sich befinden.

Seitennavigation

Seitennavigation

Wenn Sie auf diese Pfeile klicken, kommen Sie eine Seite weiter bzw. zurück.

365 Managed EDR > Incidents > Klick auf einen Incident

08

 

Incident

Incident-ID 06

Hier sehen Sie die ID des Incidents. Sie können die ID für den weiteren Gebrauch kopieren.

Status

Hier erfahren Sie, welchen Status der Bearbeitung der zugehörige Incident, aktuell hat. Einige Status werden automatisch vom Portal gesetzt und einige werden manuell von einem G DATA Security Analysten gesetzt. Folgende Status gibt es:

Neu

Dieser Status wird automatisch vom Managed EDR gesetzt. Der Status bedeutet, dass das Portal automatisch einen neuen Incident erkannt hat, dieser aber noch nicht von einem G DATA Security Analysten untersucht wurde. Somit hat dieser Incident noch keine Priorisierung.

Der Incident erhält auch dann den Status Neu, wenn er bereits einen anderen Status hatte, nun aber ein neuer Alert hinzugekommen ist.

Automatisch behoben

Dieser Status wird automatisch vom Managed EDR gesetzt. Er wird automatisch gesetzt, wenn kein G DATA Security Analyst benötigt wird, um den Alert zu schließen. Das ist beispielsweise dann der Fall, wenn Alerts immer wieder auftreten, bei denen bereits mehrfach geklärt wurde, dass sie keine Gefahr darstellen, sondern zum Arbeitsalltag gehören. Dann muss kein Security Analyst mehr eingreifen und der Alert erhält automatisch den Status Automatisch behoben.

In Bearbeitung

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status bedeutet, dass der G DATA Security Analyst den Incident aktuell untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Analyst den Status ändern.

Behoben

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status bedeutet, dass der G DATA Security Analyst die Arbeit an dem Incident abgeschlossen hat. Es ist jedoch möglich, dass kundenseitig noch eine offene Handlungsempfehlung vorliegt.

Zurückgestellt

Dieser Status wird manuell von einem G DATA Security Analysten gesetzt. Der Status wird dann gesetzt, wenn der G DATA Security Analyst zu dem Zeitpunkt nicht weiter arbeiten kann, weil er auf eine Rückmeldung oder die Ausführung einer Handlungsempfehlung des Kunden wartet.

Priorität

Hier erfahren Sie, ob der zugehörige Incident die Priorität Niedrig, Mittel oder Hoch hat. Standardmäßig erhält der Incident die Priorität Mittel. Die Priorisierung wird manuell von den G DATA Security Analysten geändert. Wenn die Priorisierung Hoch vergeben wurde, wartet der Security Analyst gegebenenfalls auf eine Rückmeldung des Kunden oder auf die Ausführung einer Handlungsempfehlung.

Endpunkt

Hier erfahren Sie, auf welchen Endpunkt sich der Incident bezieht. Wenn mehrere Endpunkte betroffen sind, sind hier mehrere Endpunkte angegeben.

 

Handlungsempfehlungen

Handlungsempfehlung 04

07

Hier sehen Sie, welche Aktion Ihnen empfohlen wird (=Handlungsempfehlung). Die Handlungsempfehlungen, die hier aufgeführt sind, wurden von einem Security Analysten von G DATA erstellt.

Wenn es keine Aktion gibt und keine Aufgaben zu erledigen sind, wird dies ebenfalls angezeigt.

Button Detaillierten Verlauf anzeigen

05

Wenn Sie auf diesen Button klicken, gelangen Sie auf den Incident Report.