Anzeigen und Verwalten von aggregierten Warnungen
Stellen Sie sicher, dass Ihre Administratorrolle über die erforderlichen Berechtigungen zur Verwendung der Ansicht „Warnungen“ verfügt. Die Berechtigung zum Anzeigen von Warnungen bietet schreibgeschützten Zugriff auf die Ansicht „Warnungen“. Sie benötigen die Berechtigungen „Warnungen bearbeiten“ und „Warnungen löschen“, um Änderungen an Warngruppen und einzelnen Warnungen in dieser Ansicht vorzunehmen. Wenn Sie die Ansicht „Warnungen“ verwenden möchten, um eine Datei aus Bedrohungswarnungen von
CylancePROTECT Desktop
zur globalen Sicherheitsliste oder globalen Quarantäneliste hinzuzufügen oder eine Datei aus diesen Listen zu entfernen, benötigt Ihre Rolle die entsprechenden Berechtigungen für globale Listen. Weitere Informationen finden Sie unter Einrichten von Administratoren in der Dokumentation zur Einrichtung.- Klicken Sie in der Menüleiste der Verwaltungskonsole aufWarnungen.Um die Spalten auszuwählen, die Sie anzeigen möchten, scrollen Sie nach rechts und klicken Sie auf .
- Führen Sie eine der folgenden Aktionen aus:AufgabeSchritteWarngruppen filtern und sortieren.
- Klicken Sie in einer Spalte auf und geben Sie die Filterkriterien ein oder wählen Sie sie aus. Sie haben folgende Möglichkeiten:
- Mehrere Filterkriterien auf einmal anwenden. Um einen Filter zu entfernen, klicken Sie auf das x für diesen Filter.
- Wenn Sie nach Klassifizierung, Unterklassifizierung, Beschreibung oder Schlüsselindikatoren filtern möchten, gehen Sie nach einer der folgenden Methoden vor:
- Um genaue Übereinstimmungen zu finden, klicken Sie auf >ist gleich. Geben Sie einen Wert ein, um Übereinstimmungen anzuzeigen. Klicken Sie auf bis zu 5 Übereinstimmungen, die der Filterliste hinzugefügt werden sollen, und klicken Sie dann aufAnwenden.
- Um Übereinstimmungen zu finden, die den angegebenen Wert enthalten, klicken Sie auf >enthält. Geben Sie einen oder mehrere Werte ein (klicken Sie auf , um weitere Werte hinzuzufügen). Klicken Sie aufAnwenden.
Wenn Sie die Ergebnisse anzeigen, können Sie auf den oben im Bildschirm angezeigten Filter klicken, um Filterkriterien hinzuzufügen oder zu entfernen. - Wenn Sie nachAnzahlfiltern, klicken Sie auf , um weitere Optionen anzuzeigen (größer als, kleiner als usw.).
- Filtern Sie nachProdukt, um die Ergebnisse für bestimmteCylance Endpoint Security-Dienste zu beschränken.
- Filtern Sie nachErkennungszeit, um die Ergebnisse auf einen bestimmten Datums- und Uhrzeitbereich einzugrenzen.
- Um die Warngruppen in auf- oder absteigender Reihenfolge anhand einer Spalte zu sortieren, klicken Sie auf den Namen der Spalte (wo zutreffend).
Details für Schlüsselindikatoren einer Warngruppe anzeigen, und Warngruppen nach Schlüsselindikatortyp oder -wert filtern.- Bewegen Sie den Mauszeiger über ein Schlüsselindikatorsymbol, um den Typ des Objekts oder Ereignisses anzuzeigen. Klicken Sie auf ein Symbol, um Details anzuzeigen.
- Wenn Sie den vollständigen Text eines abgeschnittenen String-Werts anzeigen möchten, bewegen Sie den Mauszeiger darüber und klicken Sie auf , wo zutreffend.
- Wenn Sie einen Wert kopieren möchten, bewegen Sie den Mauszeiger darüber und klicken Sie auf , wo zutreffend.
- Um Warngruppen nach Schlüsselindikator zu filtern, bewegen Sie den Mauszeiger darüber und klicken Sie auf .
Details für eine Warngruppe und einzelne Warnungen anzeigen.- Klicken Sie auf eine Warngruppe.
- Blättern Sie im linken Fensterbereich nach unten, um die Beziehungen zwischen den auslösenden und Zielobjekten anzuzeigen. In dieser Ansicht wird ein einzelner Satz von Schlüsselindikatoren angezeigt, die mit einzelnen Ereignissen (Dateien, Benutzer, ausführbare Dateien, Prozesse usw.) verknüpft sind.
- Blättern Sie im linken Fensterbereich nach unten, um die Beziehungen zwischen den auslösenden und Zielobjekten anzuzeigen. In dieser Ansicht wird ein einzelner Satz von Schlüsselindikatoren angezeigt, die mit einzelnen Ereignissen (Dateien, Benutzer, ausführbare Dateien, Prozesse usw.) verknüpft sind.Sie können beispielsweise ein Objekt eines übergeordneten Prozesses oder eine ausführbare Datei sehen, die den auslösenden Prozess für einen untergeordneten Prozess darstellt. Ereignisse oder Objekte auf derselben Ebene werden unter demselben übergeordneten Element als gleichgeordnet betrachtet.Wo zutreffend, können Sie den Mauszeiger über Werte bewegen und auf klicken, um Volltextzeichenfolgen anzuzeigen, oder auf , um den Wert zu kopieren. Bei Prozessartefakten können Sie auf klicken, um eine Analyse mit demCylance Assistantzu generieren. Weitere Informationen finden Sie unter Verwendung KI-gestützter Cylance Assistant zur Untersuchung von Benachrichtigungen.
- Führen Sie für die einzelnen Gerätewarnungen einen der folgenden Schritte aus:
- Sortieren und filtern Sie die Informationen über Warnungen.
- Ändern Sie den Status der Warnungen. Siehe Statusänderungen für Warnungen.
- Weisen Sie Warnungen einem Benutzer zu.
- Fügen Sie Bezeichnungen für die Warnungen hinzu oder ändern Sie diese.
- Um den Detailbereich für eine bestimmte Warnung zu öffnen, klicken Sie auf die Warnung. Führen Sie eine der folgenden Aktionen aus:
- Falls zutreffend, können Sie aufErkennungsdetailsklicken, um weitere Details und Aktionen in anderen Bereichen der Konsole anzuzeigen (z. B. in der Ansicht CylanceOPTICS-Erkennungen). Der Link „Erkennungsdetails“ bleibt beiCylancePROTECT Desktop-Bedrohungswarnungen 60 Tage und bei anderen Arten von Warnmeldungen für 30 Tage aktiv.
- Erweitern Sie die mit der Warnung verknüpften Artefakte, um Details zu prüfen und Beziehungen zwischen den auslösenden und Zielobjekten und -ereignissen anzuzeigen. Der vollständige Satz Objekte, die mit einer Erkennungsregel verknüpft sind, ist in der Ansicht „Artefakte“ enthalten.Wo zutreffend, können Sie den Mauszeiger über Werte bewegen und auf klicken, um Volltextzeichenfolgen anzuzeigen, oder auf , um den Wert zu kopieren. Bei Prozessartefakten können Sie auf klicken, um eine Analyse mit demCylance Assistantzu generieren. Weitere Informationen finden Sie unter Verwendung KI-gestützter Cylance Assistant zur Untersuchung von Benachrichtigungen.
CylanceMDR-Support anfordernDiese Funktion ist nur fürCylanceMDROn-Demand-Abonnements verfügbar.Wenn Sie eine Benachrichtigung beobachtet haben, die Ihrer Meinung nach verdächtig ist, und Sie die Bedrohung von einem Experten analysieren lassen möchten, können Sie ggf. Unterstützung von einemCylanceMDR-Analysten anfordern. Die Benachrichtigung wird zur Untersuchung an einen Analysten eskaliert. Sie können dasCylanceMDR(CylanceGUARD)-Portal verwenden, um über den Bildschirm „Eskalationen“ mit dem Analysten über die eskalierte Benachrichtigung zu kommunizieren. Beispielsweise werden Sie möglicherweise aufgefordert, weitere Details zur Benachrichtigung anzugeben.- Klicken Sie auf eine Warngruppe, die Bedrohungswarnungen vonCylancePROTECT Desktopenthält.
- Klicken Sie im rechten Fensterbereich auf die SchaltflächeCylanceMDR-Support.
- Klicken Sie aufSupport anfordern, um zu bestätigen, dass Sie die Benachrichtigung an einen Analysten eskalieren möchten.
- Verfolgen Sie die Anfrage über dasCylanceMDR(CylanceGUARD)-Portal. Siehe Dokumentation zuCylanceMDR
Wenn Sie eine Rund-um-die-Uhr-Bedrohungsüberwachung wünschen, sollten Sie die Standard- oder erweitertenCylanceMDR-Abonnements in Betracht ziehen. Weitere Informationen finden Sie in der Übersicht zuCylanceMDR.Benachrichtigungen zuCylancePROTECT Desktop-Bedrohungen: Dateien zu der globalen Sicherheitsliste oder der globalen Quarantäneliste hinzufügen oder daraus entfernen.- Klicken Sie auf eine Warngruppe, die Bedrohungswarnungen vonCylancePROTECT Desktopenthält.
- Klicken Sie aufAktionen > Globale Liste verwalten.Der SHA256-Hash der Datei, die mit den Bedrohungswarnungen verknüpft ist, wird angezeigt. Eine Benachrichtigung wird bereitgestellt, wenn die Datei bereits in der globalen Sicherheitsliste oder der globalen Quarantäneliste vorhanden ist.
- Wählen Sie die entsprechende Aktion aus, um die Datei der globalen Sicherheitsliste oder der globalen Quarantäneliste hinzuzufügen oder sie daraus zu entfernen. Wenn die Datei bereits in der globalen Sicherheitsliste oder der globalen Quarantäneliste vorhanden ist, können Sie sie in die andere Liste verschieben.
- Wenn Sie die Datei zur globalen Sicherheitsliste hinzufügen, klicken Sie in der Dropdown-ListeKategorieauf die entsprechende Kategorie.
- Wenn Sie die Datei zu einer Liste hinzufügen, geben Sie den Grund ein.
- Klicken Sie aufSpeichern.
Die Änderungen werden auf die entsprechende Sicherheits- oder Quarantäneliste angewendet. An der Warngruppe in der Ansicht „Warnungen“ werden keine Änderungen vorgenommen.Ändern Sie den Status von Warngruppen.Führen Sie eine der folgenden Aktionen aus:- Um den Status einer Warngruppe zu ändern, klicken Sie in der Dropdown-ListeStatusauf den entsprechenden Status.
- Um den Status mehrerer Warngruppen zu ändern, wählen Sie die Warngruppen aus, klicken Sie aufStatus ändern. Klicken Sie auf den entsprechenden Status und dann aufAnwenden.
Weisen Sie Warngruppen einem Benutzer zu.Führen Sie eine der folgenden Aktionen aus:- Um einem Benutzer eine Warngruppe zuzuweisen, klicken Sie in der SpalteEmpfängerauf +, suchen Sie nach einem Benutzer, klicken Sie darauf und klicken Sie aufZuweisen.
- Um einem Benutzer mehrere Warngruppen zuzuweisen, wählen Sie die Warngruppen aus und klicken Sie aufWarnung zuweisen. Suchen Sie nach einem Benutzer, wählen Sie ihn aus und klicken Sie dann aufZuweisen.
Fügen Sie eine Bezeichnung für Warngruppen hinzu oder ändern Sie sie.Sie können benutzerdefinierte Bezeichnungen zu Warngruppen hinzufügen, um kurze Notizen oder Erinnerungen bereitzustellen oder um sie als Filterkriterien zu verwenden. Um Bezeichnungen anzuzeigen, müssen Sie die Spalte „Bezeichnungen“ auf „Anzeigen“ setzen.- Wählen Sie eine oder mehrere Warngruppen aus.
- Klicken Sie aufBezeichnungen ändern.
- Geben Sie eine Bezeichnung ein und drücken Sie die EINGABETASTE oder suchen Sie nach einer vorhandenen Bezeichnung und wählen Sie sie aus.
- Klicken Sie aufAnwenden.
Um eine Bezeichnung zu entfernen, klicken Sie auf die Bezeichnung, klicken Sie auf das X-Symbol und dann aufAnwenden.Exportieren Sie Benachrichtigungsdaten.Führen Sie eine der folgenden Aktionen aus:- Um Details für alle Warngruppen zu exportieren, klicken Sie auf . Geben Sie den Dateinamen an, und klicken Sie aufExportieren.
- Um Details für alle Warnungen innerhalb einer Gruppe zu exportieren, klicken Sie auf eine Warngruppe und dann auf . Geben Sie den Dateinamen an, und klicken Sie aufExportieren.
Löschen Sie Benachrichtigungsgruppen.- Wählen Sie eine oder mehrere Warngruppen aus.
- Klicken Sie aufLöschen.
- Klicken Sie zur Bestätigung erneut aufLöschen.
Löschen von Benachrichtigungsgruppen aus den Filterergebnissen- Filtern Sie die Benachrichtigungsgruppen nach den entsprechenden Kriterien.
- Führen Sie einen der folgenden Schritte aus:
- Um alle Benachrichtigungsgruppen aus den Filterergebnissen zu löschen, aktivieren Sie das Kontrollkästchen oben links, und klicken Sie aufAlle löschen. Klicken Sie zur Bestätigung erneut aufAlle löschen.
- Um bestimmte Benachrichtigungsgruppen aus den Filterergebnissen zu löschen, wählen Sie die Benachrichtigungsgruppen aus und klicken Sie aufLöschen. Klicken Sie zur Bestätigung erneut aufLöschen.