Incident Logs
Unter Threats > Incident Logs sehen Sie die von Threat Defender erstellten Logs über Threat Intelligence-Zwischenfälle.
Standardmäßig zeigt das Log alle in der Datenbank enthaltenen Zwischenfälle an. Mit den entsprechenden Schaltflächen im oberen Bildschirmbereich können Sie neun verschiedene PDF-Berichte erstellen, die sich hinsichtlich Berichtszeitraum und enthaltener Daten unterscheiden.
Das Diagramm und die benachbarte Tabelle Incident Logs zeigen die in den vergangenen 24 Stunden erfassten Zwischenfälle nach Zeit und Schweregrad. Wenn Sie auf einen Bereich des Diagramms oder der Tabelle klicken, wird das Log automatisch entsprechend gefiltert.
Sie können die Logeinträge auch mit dem -Filterfeld über der Logtabelle filtern. Alternativ können Sie die Logtabelle auch filtern, indem Sie den Mauszeiger über eines der Felder bewegen und die entsprechenden Elemente mit in die gefilterten Ergebnisse einschließen oder mit ausschließen.
Die gefilterte Ansicht zeigt die verwendeten Filter. Mit können Sie die jeweilige Filteroption entfernen.
Detailansicht für Logeinträge
Um weitere Einzelheiten für einen Logeintrag aufzurufen, klicken Sie auf das -Icon in der letzten Tabellenspalte oder klicken Sie doppelt auf die Zeile. Die Detailansicht zeigt die vorhandenen Informationen zu dem protokollierten TI-Zwischenfall in mehreren Tabs.
Klicken Sie auf Create Full Report oder Create Summary Report im oberen Bildschirmbereich, um einen herunterladbaren PDF-Bericht über den Zwischenfall zu erstellen. Der vollständige Bericht enthält alle Informationen aus allen Tabs der Detailansicht. Der Kurzbericht enthält nur die Informationen des Event-Tabs.
Das Event-Tab zeigt eine Übersicht über den protokollierten Zwischenfall:
Feld |
Beschreibung |
---|---|
Created At |
Datum und Uhrzeit als der Zwischenfall protokolliert wurde. |
Severity |
Der Schweregrad des erkannten Zwischenfalls. |
Action |
Die Regelaktion, die für den Zwischenfall protokolliert wurde. Aktionen sind |
Type |
Der Typ des protokollierten Zwischenfalls: |
Policy |
Die beteiligte Policy. Klicken Sie auf die Policy, um direkt zu dem Korrelationsszenario unter Advanced Correlation zu gelangen. |
Rule |
Der Name der Regel, die den Zwischenfall erfasst hat. Klicken Sie auf die Regel, um direkt zum entsprechenden Bereich unter Analytics zu gelangen. |
Indicator Value |
Der Wert des erkannten Indikators. |
IPS Rule |
Die ausgelöste IPS-Regel. Klicken Sie auf die Regel, um ihren Eintrag in der Datenbank zur Bedrohungsaufklärung von Threat Defender aufzurufen. |
Classification |
Die/das am Zwischenfall beteiligte Anwendung/Protokoll. Klicken Sie auf den Eintrag, um direkt zum entsprechenden Bereich unter Analytics zu gelangen. |
User |
Klicken Sie auf bzw. den Namen des am Zwischenfall beteiligten Benutzers, um zum entsprechenden Bereich unter Analytics zu gelangen. |
Transport |
Das verwendete Transportprotokoll. |
VLAN |
Die VLAN-ID des am Zwischenfall beteiligten Flows. |
Flow Id |
Die ID des am Zwischenfall beteiligten Flows. |
URL |
Die am Zwischenfall beteiligte URL. |
Source/Destination |
Diese Tabelle zeigt Informationen zu Quelle und Ziel des am Zwischenfall beteiligten Flows: Interfaces, Assets, MAC- und IP-Adressen, Standorte, Ports und Länder. Viele dieser Einträge sind Links, über die Sie zu den entsprechenden Bereichen unter Analytics gelangen. |
Zusätzlich zu Informationen über den eigentlichen Zwischenfall, sammelt die Detailansicht folgende Daten, sofern verfügbar:
Der Tab Related Indicators zeigt Informationen zu Indikatoren, die mit dem Zwischenfall in Verbindung stehen.
Die Tabs Source Asset und Destination Asset zeigen Auszüge aus der Assets-Datenbank mit Informationen über die am Zwischenfall beteiligten Quell- und Ziel-Assets. Siehe Asset-Detailansicht für weitere Informationen zu den Datentabellen.
Der Tab User enthält Informationen über den Nutzer des Quell-Assets aus der Nutzerdatenbank. Siehe Benutzerdetailansicht für weitere Informationen zu den Datentabellen.