Bedingungen zur Auslösung automatisierter Aktionen in einem sicheren Endgerät ermitteln

Aktualisiert:1. Februar 2023
Dokument-ID:220184

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Bedingungen beschrieben, die erfüllt sein müssen, um automatisierte Aktionen auszulösen.

    Hintergrundinformationen

    Automatisierte Aktionen werden bei Kompromittierung ausgelöst (d. h., ein nicht kompromittierter Computer wird zu einem kompromittierten Computer). Wenn ein bereits kompromittierter Computer eine neue Erkennung auslöst, wird diese Erkennung der Kompromittierung hinzugefügt. Da es sich jedoch nicht um eine neue Kompromittierung handelt, wird keine automatisierte Aktion ausgelöst.

    Eine Ausnahme hiervon ist der Schweregrad. Die Auslösung automatisierter Aktionen basiert auf Kriterien, die einen hohen Schweregrad aufweisen. Kompromittierungen haben jedoch keinen eigenen Schweregrad (nur bei der Einzelerkennung). Wenn für eine automatisierte Aktion der Schweregrad "Hoch" konfiguriert ist und eine Erkennung als "Mittel" ausgelöst wird, löst sie die Aktion nicht aus. Wenn ein nachfolgendes Ereignis zu dem hohen Kompromiss hinzugefügt wird, wird die Aktion ausgelöst, da diese neue Erkennung in dem bereits vorhandenen Kompromiss enthalten ist.

    Was ist ein kompromittierter Computer?

    Ein kompromittierter Computer ist ein Endpunkt, mit dem ein aktiver Kompromiss verbunden ist. Bei einem kompromittierten System kann nur jeweils ein Kompromiss aktiv sein.

    Geltungsbereich 

    Windows, Mac

    Automatisierte Aktionen verfügbar

    1. Forensische Momentaufnahme bei Kompromittierung: Erstellt eine forensische Momentaufnahme eines Computers, wenn eine Kompromittierung auftritt. Ein Compromise-Ereignis ist im Grunde ein Ereignis, das von einem Connector gesendet wird und über ein potenziell bösartiges Ereignis informiert.

      Bedingungen zum Auslösen dieser automatisierten Aktion: Ereignisse mit dem ausgewählten Schweregrad oder einem höheren Schweregrad lösen die automatisierte Aktion aus.

      Automated Actions Available

      Conditions to Trigger Automated Action

      Dies ist ein Beispiel für einen kompromittierten Computer:

      Example of a Compromised Machine

      Dies ist das Protokoll der automatisierten Aktion (über die Registerkarte Audit Log).

      Log of the Automated Action

    2. Computer bei Kompromittierung isolieren: Computer werden isoliert, wenn eine Kompromittierung auftritt.

      Bedingungen zum Auslösen dieser automatisierten Aktion: Ereignisse mit dem ausgewählten Schweregrad oder einem höheren Schweregrad lösen die automatisierte Aktion aus. Das Durchsatzlimit schützt Sie vor falsch positiven Erkennungen. Die Funktion "Übertragungsratenlimit" ermittelt die Gesamtzahl der Isolationen in einem 24-Stunden-Rollfenster. Ist die Anzahl der Isolationen größer als der Grenzwert, werden keine weiteren Isolationen ausgelöst. Computer werden wieder isoliert, sobald die Anzahl der Kompromittierungen unter den Grenzwert im 24-Stunden-Rollfenster fällt oder Sie die Isolation auf Computern beenden, die automatisch isoliert wurden.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      Dies ist ein Beispiel für einen kompromittierten Computer:

      Example of a Compromised Machine

      Dies ist das Protokoll der automatisierten Aktion (über die Registerkarte Audit Log):

      Log of the Automated Action From Audit Log Tab



    3. Bei Erkennung an Secure Malware Analytics senden: Senden Sie eine Datei zur Dateianalyse an Secure Malware Analytics, wenn eine Erkennung auftritt.

      Bedingungen zum Auslösen dieser automatisierten Aktion: Ereignisse mit dem ausgewählten Schweregrad oder einem höheren Schweregrad lösen die automatisierte Aktion aus.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      Beispiel eines kompromittierten Systems:

      Example of Compromised Machine with Malware Detected

      In diesem Fall wurde die Datei bereits zuvor an Secure Malware Analytics gesendet, sodass die Dateianalyse bereits durchgeführt wurde. Beispiel:

      File Already Done as Malware Previously Submitted

      note-icon

      Hinweis: Diese automatisierte Aktion ist nicht mit Kompromittierungen verbunden und wird pro Erkennung ausgeführt.

    4. Computer bei Kompromittierung in eine Gruppe verschieben: Computer können bei Auslösung der Aktion aus der aktuellen Gruppe in eine andere Gruppe verschoben werden. Dadurch können Sie angegriffene Computer in eine Gruppe verschieben, die über eine Richtlinie mit aggressiveren Scan- und Engine-Einstellungen verfügt, um die angegriffene Situation zu beheben.

    Bedingungen zum Auslösen dieser automatisierten Aktion: Ereignisse mit dem ausgewählten Schweregrad oder einem höheren Schweregrad lösen die automatisierte Aktion aus.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    Dies ist der Computer in der ursprünglichen Gruppe:

    Computer in the Original Group

    Dies sind die Ereignisse der Kompromittierung:

    Events of the Compromise

    Dies ist das Protokoll der automatisierten Aktion (über die Registerkarte Audit Log):

    Log of the Automated Action (from Audit Log Tab)

    Der Computer wurde in die angegebene Gruppe in der Einstellung "Automatisierte Aktion" verschoben:

    Computer Moved to Specified Group in the Automated Action Setting

    Aktionsprotokolle

    Dies ist die vollständige Liste der automatisierten Aktionsprotokolle auf der Registerkarte "Automatisierte Aktionen":

    Automated Action Logs

    Zugehörige Informationen

    Secure Endpoint - Benutzerhandbuch

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    01-Feb-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Isaac Cardenas
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.