G DATA 365 | Managed EDR

Gesamtübersicht eines Vorfalls

Jeder Vorfall kann in einer Gesamtseite betrachtet werden, in der alle wichtigen Informationen auf einen Blick eingesehen werden können.

G DATA 365 | Managed EDR Gesamtübersicht

Farbliche Markierungen der Relevanz von Handlungsempfehlungen (→ Priorität) und Vorfällen (→ Auswirkung)

Damit wichtige Handlungsempfehlungen sofort von weniger wichtigen Informationen herausstechen, erhalten sowohl Vorfälle als auch Handlungsempfehlungen eine Einschätzung nach Wichtigkeit mit entsprechender farbliche Markierung.

Diese Status kann ein Vorfall anzeigen

grün
Wenn der Vorfall einen grünen Status hat, gibt es für Sie nichts zu tun. In diesem Fall konnte G DATA die Gefahr beseitigen und für Sie fallen keine Aufgaben an.

gelb
Wenn der Vorfall einen gelben Status hat, ist es erforderlich, dass Sie eine Aktion ausführen. Die Aktion ist nicht dringend erforderlich, sollte aber vorgenommen werden.

rot
Wenn der Vorfall einen roten Status hat, ist es dringend erforderlich, dass Sie eine Aktion ausführen.
Diese Aktion sollte zeitlich nicht hinausgezögert werden.

grau
Wenn der Vorfall einen grauen Status hat, ist G DATA aktuell beschäftigt, das Problem zu lösen. Nachdem die G DATA Security Analysten den Vorgang abgeschlossen haben, ändert sich der Status auf Rot, Gelb oder Grün.

Der Status eines Vorfalls oder einer Handlungsempfehlung

Mit Status ist der aktuelle Stand der Bearbeitung gemeint. Einige Status werden automatisch von unserem Cloud-Backend gesetzt. Dazu gehören:

Neu
Dieser Status bedeutet, dass dem Portal ein neuer Vorfall gemeldet wurde, dieser aber noch nicht untersucht wurde. Ein Vorfall erhält auch dann den Status Neu, wenn er bereits einen anderen Status hatte, aber eine neue Meldung hinzugekommen ist.

Automatisch behoben
Dieser Status bedeutet, dass keine G DATA Security Analysten benötigt werden, um die Meldung zu schließen. Dies ist beispielsweise der Fall, wenn eine als infiziert bekannte Datei aus dem Internet heruntergeladen werden sollte, der G DATA Agent den Download jedoch verhindert hat. Hier müssen keine G DATA Security Analysten eingreifen und die Meldung erhält den Status Automatisch behoben.

Manche Status werden von den G DATA Security Analysten händisch gesetzt. Hierzu gehören:

In Bearbeitung
Dieser Status bedeutet, dass ein G DATA Security Analyst den Vorfall aktuell untersucht. Sobald die Untersuchung abgeschlossen ist, wird der Analyst den Status ändern.

Behoben
Dieser Status bedeutet, dass ein G DATA Security Analyst die Arbeit an dem Vorfall abgeschlossen hat. Es ist jedoch möglich, dass kundenseitig noch offene Handlungsempfehlungen vorliegen.

Zurückgestellt
Dieser Status wird dann gesetzt, wenn ein G DATA Security Analyst zu diesem Zeitpunkt nicht weiter arbeiten kann, weil er auf eine Rückmeldung oder auf die Ausführung von Handlungsempfehlungen durch Kunden wartet.

Priorität

Ein Vorfall kann die Priorität Niedrig, Mittel oder Hoch haben. Standardmäßig erhält der Vorfall die Priorität Mittel. In manchen Fällen wird die Priorisierung manuell von den G DATA Security Analysten geändert. Wurde die Priorität Hoch vergeben, wartet ein G DATA Security Analyst gegebenenfalls dringlich auf eine Rückmeldung oder auf die Ausführung einer Handlungsempfehlung. In diesem Fall sehen Sie die farbliche Markierung des Vorfalls mit einer roten Status-Kennzeichnung.

Die Handlungsempfehlungen

Im rechten Block der Gesamtübersicht sehen Sie eine Liste aller zu diesem Vorfall gehörenden Handlungsempfehlungen.

Handlungsempfehlungen werden Ihnen durch unsere G DATA Security Analysten zu einem Vorfall gegeben.

Dies können

  • einfache Tipps und Tricks zur Vermeidung von Vorfällen sein,

  • einfache Tätigkeiten, die vorzunehmen sind (wie zum Beispiel ein Reboot)

  • oder komplexe Handlungen die notwendig sind, um Schaden schnellstmöglich zu verhindern oder zu begrenzen.

Die Spalte Aktion

Haken Blau
Ist der Haken in dieser Spalte blau, wurde die Handlungsempfehlung von Ihnen noch nicht als erledigt gekennzeichnet. Wenn Sie den blauen Haken klicken, kennzeichnen Sie die Handlungsempfehlung als Erledigt.

Rueckgaengig Blau
Ist der Pfeil blau, wurde die Handlungsempfehlung von Ihnen bereits als erledigt gekennzeichnet. Wenn Sie den blauen Pfeil klicken, setzen Sie den Status der Handlungsempfehlung wieder auf Nicht Erledigt zurück.

Detailseite Handlungsempfehlungen Mit einem Klick auf die Zeile der Handlungsempfehlungen öffnet sich die Detailseite.

Screenshot anzeigen
Detailseite Handlungsempfehlung

Auf dieser Seite sehen Sie die Handlungsempfehlung mit vollständigem Text. Auch auf dieser Seite können Sie die Handlungsempfehlung als Erledigt kennzeichnen. Klicken Sie hierzu auf Jetzt schließen.

Meldungen (Alert)

Im unteren Block der Gesamtübersicht finden Sie die Liste mit den zu diesem Vorfall zugeordneten Meldungen.

Spalte Name
Dies sind die Namen, die der Sensor diesem Vorfall zuordnen konnte. Zum Beispiel einen Virennamen.

Spalte Endpunkt
Hier sind die Endpunkte angegeben, auf denen Meldungen aufgetreten sind. Sind mehrere Meldungen für einen Endpunkt aufgetreten, sehen Sie in jeder Zeile den gleichen Endpunkt.
Es kann vorkommen, dass Sensoren auf verschiedenen Endpunkten eine Meldung ausgegeben haben und diese alle einem Vorfall zuzuordnen sind. In diesem Fall sehen Sie in dieser Spalte verschiedene Endpunkte angezeigt.

Spalte Betroffene Artefakte
An dieser Stelle wird Ihnen angezeigt, welche Dateien oder Prozesse bei diesem Vorfall betroffen waren.

Spalte Datum Datum und Uhrzeit der Meldung.

Spalte Status Hier sehen Sie den Status der Meldung.

Spalte Klassifizierung In dieser Spalte wird Ihnen angezeigt, ob es sich um eine berechtigte Meldung (True Positive) oder einen Fehlalarm (False Positive) handelt.

Detailseite Meldung

Mit einem Klick auf die Zeile der Meldungen öffnet sich die Detailseite.

Screenshot anzeigen
Detailseite Alert

Die Detailseite zeigt Ihnen eine Zusammenfassung der wichtigsten Informationen, wie

  • den Namen, den der meldende Sensor übermittelt hat,

  • wann der Alarm aufgetreten ist,

  • welchen Status er hat und

  • wie er klassifiziert wurde.

Unter Betroffene Artefakte sehen Sie, auf welche Datei oder auf welchen Prozess der Sensor des G DATA Agenten angeschlagen hat, sowie seine Reaktion darauf.

In unserem Beispiel (siehe Screenshot), wurde eine Datei erkannt und in Quarantäne verschoben.

Falls wir einen SHA256 Hash-Wert ermitteln konnten, wird er Ihnen ebenfalls an dieser Stelle angezeigt.