Überprüfung Ihrer Sicherheitsvorfälle
Sehen Sie sich zunächst das Dashboard für das Vorfallsmanagement an, das eine zentralisierte Übersicht über alle laufenden Sicherheitsvorfälle mit deren Status, Schweregrad und anderen Details bietet.
Sie sehen einen Vorfall, der Aufmerksamkeit erfordert, und klicken darauf, um ihn zu öffnen.
Weiterführende Einblicke in Vorfälle
Auf der Seite mit der Übersicht der Vorfälle sammeln Sie weitere Fakten:
![tick]()
Die Bewertung des Vorfalls hinsichtlich des Schweregrads![tick]()
Infiltrierte Ressourcen![tick]()
Datenquellen zu ausgelösten Warnmeldungen![tick]()
Bereits durchgeführte automatisierte Reaktionen
Die Bewertung des Vorfalls hinsichtlich des SchweregradsWeiterführende Einblicke in Vorfälle
Um diesen Vorfall zu generieren, erstellte Cortex XDR angereicherte Aktivitätsaufzeichnungen. Hierfür wurden Ereignisse aus verschiedenen Quellen zusammengefügt und die Verbindung zwischen Hosts, Identitäten, Netzwerkverkehr und mehr hergestellt, um den Kontext des Vorfalls zu erweitern.
Hunderte von ML-Modellen suchten nach ungewöhnlichen Aktivitäten in den zusammengeführten Daten und generierten neue Erkennungswarnungen.
Anschließend wurden zusammenhängende Warnmeldungen von Cortex XDR zu einem einzigen Vorfall zusammengefasst, sodass ein umfassendes Bild des Angriffs entstand und die Anzahl der manuell zu überprüfenden Warnmeldungen um 98 % reduziert werden konnte.
Identifizierung infiltrierter Ressourcen
Im Rahmen des Vorfalls stellen Sie fest, dass ein Windows-PC und ein in der Cloud gehosteter Server mit Internetverbindung kompromittiert worden sein könnten.
Überprüfen des MITRE ATT&CK® Framework
Außerdem wird der Angriff auf dem MITRE ATT&CK® -Framework abgebildet, das eine standardisierte Taxonomie zur Kategorisierung und Beschreibung von Cyberbedrohungen und Angriffstechniken bietet. Durch die automatische Zuordnung eines Angriffs zu diesem Framework bietet Cortex XDR einen vollständigen Überblick über alle damit verbundenen Aktivitäten.
Untersuchung mit Warnmeldungen und Einblicken
Ihre kritischen Warnmeldungen bestätigen, dass der Windows-PC von Angreifern infiltriert worden ist.
Unten in der Liste sehen Sie, dass für den in der Cloud gehosteten Server eine Warnmeldung mit mittlerem Schweregrad vorliegt. Die Warnmeldung gibt Aufschluss darüber, dass ein Brute-Force-Angriff versucht wurde, der jedoch fehlschlug.
Jetzt ist es an der Zeit, den infiltrierten Windows-PC zu isolieren, damit der Angriff nicht weiter fortschreiten kann.
Sofortiges Stoppen des Angriffs
Die Isolierung eines Endpunkts hilft, die Verbreitung von Malware und anderen Bedrohungen einzudämmen.
Indem Sie den gefährdeten Endpunkt vom Netzwerk trennen, verhindern Sie, dass sich die Bedrohung auf andere Geräte oder Systeme ausbreitet. So begrenzen Sie den Umfang und die Auswirkungen des Vorfalls.
Suchen und Zerstören von Malware
Jetzt ist es an der Zeit, die Ransomware-Datei zu suchen und zu zerstören.
Mit dem Live-Terminal können Sie Befehle und Skripte aus der Ferne auf Endgeräten ausführen, um eine schnelle Abhilfe zu ermöglichen, ohne dass Sie physischen Zugriff auf die betroffenen Geräte benötigen.
Blick hinter die Kulissen
Warum also wurde dieser Angriff nicht vom Endpunktagenten abgewehrt?
Für diese Demonstration haben wir die Endpunktrichtlinie so eingestellt, dass Angriffe lediglich gemeldet werden. So konnte der Angriff fortschreiten, während wir über den Fortschritt informiert wurden. Dies ist auch eine Erinnerung daran, bei der Konfiguration von Richtlinien immer die Best Practices zu befolgen.
Stellen wir die Richtlinie also so ein, dass Angriffe blockiert werden, und fahren wir fort!
Identifizieren von Sicherheitslücken und Sicherstellen der Übereinstimmung mit gesetzlichen Standards
Wenn Sie diesen Ransomware-Vorfall gut im Griff haben, erinnern Sie sich daran, dass eine Cloud-Ressource zuvor Ziel eines Brute-Force-Angriffsversuchs war. Vor diesem Hintergrund sollten Sie einige proaktive Sicherheitsmaßnahmen ergreifen, um Ihre Cloud-Sicherheit zu verbessern.
Mithilfe der Funktionen für Cloud-Compliance von Cortex XDR werden durch das Center for Internet Security Benchmarking-Compliance-Prüfungen an Cloud-Ressourcen durchgeführt. Dies hilft, potenzielle Sicherheitslücken zu erkennen, Risiken zu mindern und Bußgelder oder Strafen zu vermeiden.
Sie stellen fest, dass die Compliance bei nur 74 % liegt, was Sie in Ihren Abschlussbericht aufnehmen möchten.
Bewertung von Sicherheitslücken in einem einzigen Dashboard
Da Sie bei Ihrer Untersuchung einen kompromittierten PC entdeckt haben, verwenden Sie die Schwachstellenanalyse, um nach potenziellen Schwachstellen zu suchen, die möglicherweise nicht gepatcht und ausgenutzt wurden.
Sie sehen, dass der gefährdete PC, den Sie markiert haben, mehrere Schwachstellen aufweist, die zu dem Ransomwareangriff beigetragen haben, und erhalten so die Informationen, die Sie benötigen, um mit dem Patchen zu beginnen.
Prägnante, einfache Berichterstattung
Es ist an der Zeit, Berichte für Ihren Vorgesetzten in einem übersichtlichen Format zu erstellen. Sie können aus einer Reihe von vorgefertigten Vorlagen wählen oder eigene Berichte erstellen.
Sie erstellen Berichte über Ihre Untersuchung, einschließlich Vorfallsmanagement, Cloud-Compliance und Schwachstellenanalyse.
Klicken Sie auf eine Zeile, um einen Bericht zu erstellen
Ab an den Strand!
Herzlichen Glückwunsch! Sie haben den Ransomwareangriff erfolgreich untersucht und abgewehrt. Die Untersuchung ergab Folgendes:
![tick]()
Es gab einen Brute-Force-Angriffsversuch auf eine Cloud-Ressource![tick]()
Es liegt ein PC mit einer ungepatchten Sicherheitslücke vor![tick]()
Eine Sicherheitsrichtlinie ist so eingestellt, dass sie Vorfälle nur meldet, sodass Angriffe fortgesetzt werden.
Glücklicherweise konnten Sie den infiltrierten Endpunkt schnell isolieren und die Ransomware-Datei ohne physischen Zugriff auf den PC entfernen.
Es wurden Berichte mit einer detaillierten Beschreibung des gesamten Vorfalls erstellt. Und jetzt werden Sie in einer Stunde am Strand sein.
Die beste Zeit ist mehr Zeit
Mit Cortex XDR können sich Sicherheitsanalysten auf das konzentrieren, was sie am besten können. Cortex XDR bietet Security Operations folgende Möglichkeiten:
![tick]()
Verhinderung von Bedrohungen wie Ransomware auf Endgeräten und Cloud-Workloads![tick]()
Beschleunigung der MTTD (Mean Time To Detect, mittlere Erkennungszeit) auf Maschinengeschwindigkeit![tick]()
Rasche Reaktion auf die Ursache von Angriffen
Sorgen Sie mit Cortex XDR für mehr Sicherheit.
98 % weniger Warnmeldungen
8-mal schnellere Untersuchungen
100%ige Prävention und Erkennung ohne Konfigurationsänderungen in MITRE Engenuity 2023