Wichtige Funktionen von Aurora Focus

Funktion

Beschreibung

Analyse von Aurora Focus-Daten

Sie können die Verwaltungskonsole verwenden, um die vom Aurora Focus-Agenten erfassten Gerätedaten abzufragen und Sicherheitsvorfälle zu untersuchen sowie Gefährdungsindikatoren zu ermitteln. Wenn Aurora Focus eine Datei als potenzielle Bedrohung identifiziert, können Sie die Datei zur weiteren Analyse vom Gerät abrufen.

Mit InstaQuery können Sie eine Reihe von Geräten nach dem Vorhandensein eines bestimmten Typs von forensischen Artefakten abfragen und feststellen, wie häufig dieses Artefakt auftritt. Erweiterte Abfragen sind eine Weiterentwicklung von InstaQuery, die mithilfe der EQL-Syntax detailliertere Suchfunktionen bietet, um die Erkennung von Bedrohungen zu verbessern.

Visualisieren von Aurora Focus-Daten
Sie können die folgenden Visualisierungsfunktionen zur Unterstützung Ihrer forensischen Analyse verwenden:
  • Die InstaQuery-Facettenaufschlüsselung bietet eine interaktive visuelle Anzeige der verschiedenen Facetten, die an einer Abfrage beteiligt sind, sodass Sie deren relationale Pfade identifizieren und verfolgen können.
  • Fokusdaten ermöglichen Ihnen die Visualisierung und Analyse der Ereigniskette und der damit verbundenen Artefakte und Facetten dieser Ereignisse, die zum Auftreten von Malware oder einer anderen Sicherheitsbedrohung auf einem Gerät geführt haben.

Ereignisse erkennen und darauf reagieren

Aurora Focus verwendet die Kontextanalyse-Engine (Context Analysis Engine, CAE), um auf Geräten auftretende Ereignisse nahezu in Echtzeit zu analysieren und korrelieren. Sie können Aurora Focus so konfigurieren, dass automatische Antwortaktionen durchgeführt werden, wenn die CAE bestimmte Artefakte von Interesse erkennt (z. B. Anzeigen einer Benachrichtigung oder Abmelden des aktuellen Benutzers), und eine zusätzliche Ebene zur Erkennung und Prävention von Bedrohungen geboten wird, um die Funktionen von Aurora Protect Desktop zu ergänzen.

Sie können die Erkennungsfunktionen von Aurora Focus an die Anforderungen Ihres Unternehmens anpassen. Sie können Erkennungsregelsätze mit der gewünschten Konfiguration von Regeln und Reaktionen erstellen, vorhandene Erkennungsregeln klonen und ändern oder eigene benutzerdefinierte Regeln erstellen. Außerdem haben Sie die Möglichkeit, Erkennungsausnahmen zu erstellen, um bestimmte Artefakte von der Erkennung auszuschließen.

Bereitstellen von Paketen zur Datenerfassung

Sie können die Funktion „Paket bereitstellen“ verwenden, um einen Prozess (z. B. ein Python-Skript) auf Aurora Focus-Geräten per Remote-Zugriff sicher auszuführen und die gewünschten Daten an einem bestimmten Standort zur weiteren Analyse zu erfassen und zu speichern. Sie können beispielsweise einen Prozess zur Erfassung von Browserdaten ausführen. Sie können die Aurora Focus -Datenerfassungspakete verwenden, die in der Verwaltungskonsole verfügbar sind, oder Sie können eigene erstellen.

Sperren von Geräten, um Bedrohungen zu isolieren

Sie können ein infiziertes oder potenziell infiziertes Gerät sperren und seine LAN- und Wi-Fi-Netzwerkfunktionen deaktivieren, um Befehls- und Steuerungsaktivitäten, die Datenextraktion und die laterale Bewegung von Malware zu stoppen. Es stehen verschiedene Sperroptionen zur Verfügung, um den Anforderungen Ihres Unternehmens gerecht zu werden.

Senden von Aktionen an Geräte

Sie können die Remote-Antwort-Funktion verwenden, um Skripte sicher auszuführen und Befehle auf jedem Aurora Focus-fähigen Gerät mit einer vertrauten Befehlszeilenschnittstelle direkt von der Verwaltungskonsole aus auszuführen.