Aktionen für Sicherheitsvorgänge in der Endpunkterkennung

Prev Next

Was sind Security Operations-Aktionen?

Security Operations (SecOps)-Aktionen sind die in einem Endpunktsicherheits- oder EDR-Workflow verfügbaren Kontrollen, die es Administratoren ermöglichen, Erkennungen zu überprüfen und Folgeschritte wie das Aktualisieren des Status, das Untersuchen von Details oder das Ausführen von Reaktionsaufgaben innerhalb der Sicherheitskonsole durchzuführen. In Kandji Endpoint Detection & Response werden diese Aktionen auf der Seite "Bedrohungen" angezeigt und beinhalten die Aktualisierung des Status der Erkennung, um den Fortschritt durch Überprüfung und Behebung zu verfolgen.

Verwenden von SecOps-Aktionen in EDR

Mit der Statusaktion auf der Seite "Bedrohungen" von Endpoint Detection können Sie Erkennungsereignisse nachverfolgen und aktualisieren, während Sie sie bearbeiten. Als Administrator können Sie Erkennungen manuell als offen oder geschlossen markieren, während Kandji automatisch andere Status basierend auf dem Timing zuweist, z. B. wann die Erkennung zum ersten Mal aufgetreten ist oder wie lange sie bereits behoben ist. Auf diese Weise entsteht ein konsistenter Workflow, der Ihnen hilft, zu sehen, was neu ist, was Aufmerksamkeit erfordert und was behandelt wurde, was es einfacher macht, Bedrohungen zu selektieren und den Fortschritt in Ihrer gesamten Flotte zu verfolgen.

Die Spalte "Status " ist sowohl in der Tabelle "Dateierkennung" als auch in der Tabelle "Verhaltenserkennung " verfügbar.

Status-Arten

Ereignisereignisse können einen von vier Status haben:

  • Neu – Innerhalb der letzten 24 Stunden aufgetreten.

  • Offen – Noch nicht als geschlossen markiert.

  • Geschlossen – Wird durch manuelles Markieren als Geschlossen behoben.

  • Archiviert – Für mehr als 30 Tage geschlossen.

Automatische Verwaltung: Die Status Neu und Archiviert werden von Kandji automatisch gesetzt. Sie können eine Erkennung manuell zwischen Offen und Geschlossen ändern.

Filtern nach Status

Sie können Erkennungsereignisse auf der Seite "Bedrohungen " nach Status filtern:

  • Ereignisfilter : Standardmäßig werden neue, offene und geschlossene Ereignisse angezeigt. Archivierte Ereignisse werden ausgeblendet, sofern sie nicht ausgewählt sind.

  • Gerätefilter – Befindet sich in der Seitenleiste und ermöglicht das Filtern von Geräten nach Offen- oder Geschlossen-Erkennungen .

Ändern des Erkennungsstatus

Die regelmäßige Aktualisierung des Status trägt dazu bei, dass die Erkennungslisten korrekt bleiben, und die Filterung nach aktiven Bedrohungen wird verbessert.

So ändern Sie den Status einer oder mehrerer Erkennungen:

  1. Wählen Sie die Erkennung(en) über das Kontrollkästchen aus.

  2. Klicken Sie in der Aktionsleiste auf Status ändern .

  3. Wählen Sie den neuen Status aus dem Dropdown-Menü aus.

  4. Klicken Sie auf Ändern , um es zu übernehmen.

Sie können Erkennungen einzeln oder in großen Mengen aktualisieren.