Anzeigen von Informationen über Alarme von Endpoint Detection and Response
5. März 2024
ID 231765
Sie können weitere Informationen über die Alarme von Endpoint Detection and Response in einem Widget und einer Tabelle anzeigen. Das Widget zeigt bis zu 10 Alarme und die Tabelle bis zu 1.000 Alarme an.
Wenn Sie für das Es wurde ein IoC erkannt Benachrichtigungen konfiguriert haben, kann es vorkommen, dass Sie über ein gefundenes IoC benachrichtigt werden, bevor der entsprechende Alarm in Kaspersky Endpoint Security Cloud angezeigt wird. Dies liegt daran, dass die Ereignisse bereits im Rahmen der Ausführung der IoC-Untersuchung auftreten, während Alarme erst nach Abschluss der Untersuchung angezeigt werden.
Widget von Endpoint Detection and Response
So zeigen Sie das Widget von Endpoint Detection and Response an:
- Öffnen Sie die Management-Konsole von Kaspersky Endpoint Security Cloud.
- Klicken Sie im Informationsbereich auf die Registerkarte Überwachung.
- Falls Endpoint Detection and Response deaktiviert ist, aktivieren Sie die Verwendung der Funktion.
Das Widget zeigt die angeforderten Informationen an.
In dem angezeigten Widget können Sie zu folgenden Abschnitten wechseln:
- Eigenschaften des Geräts, auf dem der Fund gemacht wurde.
- Alarm-Details in Abhängigkeit der Technologie, welche den Alarm erkannt hat:
- Wenn der Alarm von der Endpoint Protection Platform (EPP) erkannt wurde – Ein Diagramm mit der Entwicklungskette der Bedrohung, um eine Root-Cause Analysis des Angriffs durchzuführen und Maßnahmen zur Reaktion zu ergreifen.
- Wenn der Alarm durch die Untersuchung auf Kompromittierungsindikatoren (IoC-Untersuchung) erkannt wurde – Objekte, die anhand der IoCs gefundenen wurden und ergriffene automatische Reaktionsmaßnahmen.
- Tabelle mit den Alarmen von Endpoint Detection and Response.
Tabelle von Endpoint Detection and Response
So zeigen Sie die Tabelle mit den Alarmen von Endpoint Detection and Response an:
- Öffnen Sie die Management-Konsole von Kaspersky Endpoint Security Cloud.
- Öffnen Sie das Fenster mit den Alarme von Endpoint Detection and Response auf eine der folgenden Arten:
- Klicken Sie im Abschnitt Informationsbereich auf die Registerkarte Überwachung und klicken Sie anschließend im Widget von Endpoint Detection and Response auf den Link Zur Liste mit den Alarmen wechseln.
- Wählen Sie den Abschnitt Sicherheitsverwaltung → Endpoint Detection and Response aus.
- Falls Endpoint Detection and Response deaktiviert ist, aktivieren Sie die Verwendung der Funktion.
In der Tabelle werden die angeforderten Informationen angezeigt.
- Filtern Sie die angezeigten Datensätze, indem Sie die erforderlichen Werte in den Dropdown-Listen auswählen:
- Gefunden am
Gibt den Zeitraum an, in dem die Alarme aufgetreten sind.
- Status
Der Status der Alarme in Abhängigkeit der Technologie, die sie erkannt hat:
- Wenn ein Alarm mittels EPP erkannt wurde – ob die erkannten Objekte behandelt oder nicht behandelt (gelöscht) wurden.
- Wenn ein Alarm mittels IoC-Untersuchung erkannt wurde – ob die IoCs nur erkannt wurden oder ob automatische Reaktionsmaßnahmen ergriffen wurden.
- Technologie
Die Technologie, welche den Alarm erkannt hat: EPP oder IoC-Untersuchung.
- Gefunden am
Ausgehend von der Tabelle können Sie folgende Aktionen ausführen:
- Eigenschaften des Geräts, auf dem der Fund gemacht wurde.
- Einstellungen des Sicherheitsprofils, das dem Benutzer zugewiesen ist, der ein betroffenes Gerät besitzt.
- Alarm-Details in Abhängigkeit der Technologie, welche den Alarm erkannt hat:
- Wenn der Alarm von der Endpoint Protection Platform (EPP) erkannt wurde – Ein Diagramm mit der Entwicklungskette der Bedrohung, um eine Root-Cause Analysis des Angriffs durchzuführen und Maßnahmen zur Reaktion zu ergreifen.
- Wenn der Alarm durch die Untersuchung auf Kompromittierungsindikatoren (IoC-Untersuchung) erkannt wurde – Objekte, die anhand der IoCs gefundenen wurden und ergriffene automatische Reaktionsmaßnahmen.
Außerdem können Sie Informationen zu allen aktuellen Alarmen in eine csv-Datei exportieren.