Bedrohungssuche-Handbuch
Die Funktion „Threat Hunting“ fungiert als Dashboard, das Administratoren ermöglicht, Anomalien in Geräteeinstellungen und -verhalten zu erkennen. Ihr Hauptziel besteht darin, Sicherheitsverletzungen proaktiv zu identifizieren, sodass Bedrohungen entdeckt werden, bevor sie potenziell schädliches Verhalten zeigen. Diese Funktion ist für alle Arbeitsbereiche verfügbar, die Enterprise Security +EDR verwenden.
Um den Prozess des Threat Hunting für unsere Nutzer zu vereinfachen, haben wir mehrere vordefinierte Abfragen eingefügt. Sie können jedoch weiterhin benutzerdefinierte Abfragen hinzufügen, um Ihren individuellen Anforderungen gerecht zu werden.
Häufige Abfragen und deren Einsatz
Eine häufige Abfrage ist eine vordefinierte Reihe von Anweisungen oder Kriterien, die verwendet wird, um Daten in einem System zu durchsuchen und zu analysieren. Sie hilft dabei, spezifische Informationen oder Muster aus einem Datensatz oder einer Datenbank zu identifizieren. Die Art der Abfrage kann je nach den spezifischen Zielen der Analyse variieren, z. B. Daten filtern, Systeminformationen prüfen oder einfach aussagekräftige Erkenntnisse aus dem Datensatz extrahieren.
Die Wahl der häufigen Abfragen hängt von den spezifischen Analysezielen, den Eigenschaften des Datensatzes und den Erkenntnissen ab, die Sie aus den Daten gewinnen möchten. Das Verständnis der Art Ihrer Daten und der Fragen, die Sie beantworten möchten, leitet die Auswahl geeigneter Abfragen für Ihre Analyse.
Abfragen bedarfsgerecht und asynchron ausführen
Live-Abfrage:
Live-Abfragen – oder bedarfsgerechte Abfragen – eignen sich, wenn aktuelle Daten sofort benötigt werden und für Aufgaben, die schnell ausgeführt werden können und Ergebnisse liefern.
Eine Abfrage bedarfsgerecht auszuführen ermöglicht die Echtzeitansicht der Ergebnisse direkt in Ihrem Dashboard. Dieses flexible Abfrage-Tool erlaubt es uns, alle ausgewählten Geräte zu untersuchen und die Ergebnisse sofort direkt darunter anzuzeigen.
Asynchrone Abfragen und Berichte:
Beim Ausführen asynchroner Abfragen arbeiten diese unabhängig vom Hauptprogrammfluss, und ihre Ausführung hängt nicht von der sofortigen Fertigstellung anderer Aufgaben ab. Dies ermöglicht es Administratoren, Berichte später zu prüfen, während sie gleichzeitig andere Berichte in Echtzeit bearbeiten.
Asynchrone Abfragen sind besonders vorteilhaft für Aufgaben, die länger dauern, was in Szenarien üblich ist, in denen die Benutzererfahrung nicht durch das Warten auf das Ergebnis beeinträchtigt wird. Sie sind ideal, wenn Aufgaben gleichzeitig ausgeführt werden können oder ein nicht blockierendes Verhalten erforderlich ist.
Die Snapshots stellen eine vollständige Kopie eines Berichts dar, anstatt ihn in der Live-Ergebnisansicht anzuzeigen. Sie sind im Berichte-Panel sichtbar.
Bitte beachten Sie, dass bestimmte Abfragen eine Weile dauern können, bis Ergebnisse zurückgegeben werden. Administratoren haben die Möglichkeit, auf die Schaltfläche „Abfrage abbrechen“ zu klicken, um die Ausführung zu stoppen.
Erstellen Sie einen neuen Bericht und beginnen Sie mit der Analyse mithilfe häufiger Abfragen.
- Wählen Sie in Ihrer Emsisoft Management Console einen bestehenden Workspace aus, klicken Sie auf „Threat Hunting“ und dann auf „Neuen Bericht erstellen“.
2. Klicken Sie auf die Schaltfläche „Bericht bearbeiten“, um Ihre Abfrageeinstellungen zu verwalten und Berichtsausführungen zu starten.
3. Erstellen Sie ein automatisiertes Sicherheitssystem, indem Sie Ihre Berichte täglich, wöchentlich oder monatlich planen.
4. Erkunden und wählen Sie aus der Liste vordefinierter Standardabfragen für einen effektiveren Ansatz zur Bedrohungssuche.
5. Wählen Sie, ob auf Ihrem Dashboard entweder der vollständige Datensatz oder nur die Änderungen gegenüber vorherigen Durchläufen angezeigt werden sollen. Diese Funktion verbessert die effiziente Alarmierung bei potenziell bösartigen Systemänderungen. Diese Einstellung kann im Ansichtsmodus angepasst werden, um bei Bedarf andere Ergebnisse anzuzeigen.
6. Die Option „Änderungen hervorheben“ verleiht Ihrer Datenanalyse eine benutzerfreundliche Note. Dabei weist GRÜN auf geänderte oder hinzugefügte Daten hin, während ROT die Entfernung zuvor vorhandener Daten vom Gerät signalisiert. Dieses farbcodierte System vereinfacht das schnelle Erkennen und Verstehen von Änderungen.
Threat Hunting im Vorfälle-Panel
Das Kontrollkästchen „Änderungen melden“ legt fest, ob erkannte Änderungen in den Abfrageergebnissen im Vergleich zum vorherigen Durchlauf ein Ereignis in der Vorfallliste, E-Mail-Benachrichtigungen und Integrationen auslösen sollen.
Wann immer eine Änderung in einer Hostdatei erkannt wird, wird die Änderung im Berichts-Dashboard hervorgehoben und ein Ereignis in der Übersicht des Vorfälle-Panels ausgelöst.
Klicken Sie einfach auf die Erkennung im Vorfälle-Panel, und ein Snapshot wird im Modus „Nur Änderungen“ geöffnet, der eine vollständige Kopie des Berichts bereitstellt.
Umgang mit unerwarteten Fehlern
Beim Ausführen von Abfragen auf einer Gruppe von Geräten erzeugt das System sofort eine Benachrichtigung auf dem Dashboard mit dem Hinweis „1 Fehler anzeigen“, falls eines der Geräte ein Problem hat und nicht reagiert.
Über diese Schaltfläche wird das betroffene Gerät eindeutig identifiziert und es werden Details zu der Abfrage angezeigt, die zum Zeitpunkt des Auftretens ausgeführt wurde.
Hier ein Beispiel dafür, was passiert, sobald darauf geklickt wird:
Wenn einige Geräte beim Erstellen asynchroner oder geplanter Snapshots offline sind, warten wir eine Stunde, falls diese Geräte wieder online kommen. So wird sichergestellt, dass sie im Bericht berücksichtigt werden können.
Hinter der Logik der Abfrageausführung
Stellen Sie sich Ihre Datenbank wie eine riesige Bibliothek vor, und Ihre Abfrage ist wie die Bitte an den Bibliothekar, bestimmte Bücher zu finden. Die Datenbank-Engine, die als Bibliothekar agiert, folgt diesen Schritten:
-
Verstehen der Abfrage: Der Bibliothekar versteht zunächst Ihre Frage (Abfrage), um herauszufinden, welche Bücher (Daten) Sie suchen.
-
Abfrage-Parsing: Als Nächstes zerlegt der Bibliothekar die Frage in kleinere Teile, z. B. das Identifizieren von Schlüsselwörtern und Bedingungen in Ihrer Abfrage.
-
Abfrage-Optimierung: So wie der Bibliothekar den effizientesten Weg wählt, um die Bücher zu sammeln, optimiert die Datenbank-Engine den Ausführungsplan der Abfrage, um die Daten bestmöglich abzurufen.
-
Datenabruf: Jetzt durchsucht der Bibliothekar die Regale und holt die Bücher (Daten), die Ihren Kriterien entsprechen.
-
Ergebnispräsentation: Schließlich übergibt der Bibliothekar Ihnen die Bücher, ordentlich organisiert entsprechend Ihrer Abfrage. Ebenso präsentiert die Datenbank-Engine die abgefragten Daten in einem lesbaren Format.
Das Verständnis der Logik hinter der Abfrageausführung hilft, eine schnelle und genaue Informationsabfrage aus der Datenbank sicherzustellen.
Brauchen Sie Hilfe oder haben Sie Fragen?
Unser Kundenservice steht Ihnen jederzeit zur Verfügung. Wenn Sie Fragen zu diesen Änderungen haben oder Unterstützung bei der Verwaltung Ihrer Lizenzen benötigen, zögern Sie bitte nicht, uns zu kontaktieren.