Verwalten von Benachrichtigungen in allen Aurora Endpoint Security-Diensten

Die Ansicht „Warnungen“ bietet Ihnen einen umfassenden Überblick über die erkannten und korrelierten Warnungen in den verschiedenen Diensten von Aurora Endpoint Security. So können Sie bestehende Bedrohungsmuster in Ihrem Unternehmensökosystem leichter erkennen und nachverfolgen und die Warnungen effizienter lösen. Dank der Ansicht „Warnungen“ ist es nicht notwendig, Warnungen aus verschiedenen Bereichen der Konsole zu untersuchen, die jeweils für einen bestimmten Dienst, wie Aurora Protect Desktop oder Aurora Focus, vorgesehen sind. Über die Ansicht „Warnungen“ können Sie Warnungen aller von Ihrer Umgebung unterstützten Aurora Endpoint Security-Dienste überprüfen, untersuchen und verwalten.

Dienst

Unterstützt von der Ansicht „Warnungen“

Aurora Protect Desktop

Bedrohungs-Telemetrie, Speicherschutzwarnungen und Skriptkontrollwarnungen vom Aurora Protect Desktop-Agenten auf Desktop-Geräten.

Aurora Protect Mobile

Von der Aurora Protect Mobile-App erkannte Warnungen.

Aurora Focus

Erkannte Warnungen vomAurora FocusAgenten auf Desktop-Geräten.

Gateway

Network protection settings die Sie konfiguriert haben, oder die Reputationsziele, die Gateway als hohes Risiko eingestuft hat.

CylanceAVERT

Exfiltrationsereignisse vom CylanceAVERT-Agenten auf Desktop-Geräten.

Okta-Connector

Okta-Telemetrie bei Benutzerereignissen über den Okta-Connector.

Erfordert eine Lizenz für CylanceENDPOINT Pro.

Mimecast-Connector

Mimecast-Verbindungsschutz-Telemetrie über den Mimecast-Connector.

Erfordert eine Lizenz für CylanceENDPOINT Pro.

Die erste Ansicht „Warnungen“ ist eine Zusammenfassung, in der ähnliche Warnungen nach Kriterien wie Priorität, Klassifizierung, konfigurierte Reaktionen und andere wichtige Warnungsattribute gruppiert werden. Weitere Informationen zu den Kriterien finden Sie unter So werden Warnungen von Aurora Endpoint Security gruppiert.

Die automatische Gruppierung von Warnungen spiegelt sowohl die Häufigkeit als auch die Verbreitung von Warnungen wider, sodass Analysten einen klaren Überblick darüber erhalten, wie oft und wo Bedrohungen auftreten. Standardmäßig werden die Warngruppen in absteigender Reihenfolge nach Priorität sortiert, um eine Top-Down-Ansicht aller relevanten Sicherheits-Telemetriedaten zu erhalten. Jede Gruppe zeigt Symbole für die Arten von Schlüsselindikator-Artefakten an, die mit der Gruppe verknüpft sind (z. B. Datei, Prozess, E-Mail usw.). Sie können auf ein Schlüsselindikatorsymbol klicken, um die Attribute des Schlüsselindikators zu prüfen, und Sie können diese Werte kopieren oder nach ihnen filtern. Wenn neue Warnungen erkannt und von den Telemetriequellen verarbeitet werden, werden sie zu einer vorhandenen Gruppe oder einer neuen Gruppe hinzugefügt.

Die Ansicht „Warnungen“ unterstützt Einfach- und Mehrfacherkennungs-Warnungen. Warnungserkennungsregeln können manchmal mehrere Erkennungen durchführen, bevor eine Warnung generiert und in der Ansicht „Warnungen“ angezeigt wird. Jede Erkennung wird mithilfe eines Ereignisses modelliert (z. B. Datei geöffnet, Registrierungsschlüssel hinzugefügt usw.).

Sie können auf eine Warngruppe klicken, um auf die folgenden Informationen zuzugreifen:
  • Die Registerkarte „Übersicht Warnungen“, auf der Erkennungsdetails und wichtige Schlüsselindikatoren zusammengefasst sind, die für die Gruppe relevant sind.
  • Auf der Registerkarte „Schlüsselindikatoren“ werden die Erkennungsattribute angezeigt, die in jeder einzelnen Warnung innerhalb der Gruppe identisch sind. Wenn der Schlüsselindikator beispielsweise ein Datei-Hash war, wurde dieser Hash in jeder Warnung erkannt, unabhängig davon, ob er vom selben Gerät oder von anderen Geräten stammt. Die Schlüsselindikatoren werden visuell dargestellt, um die Beziehung zwischen übergeordneten, untergeordneten und gleichgeordneten Objekten anzuzeigen. Bei Mehrfacherkennungs-Warnungen sind die Schlüsselindikatoren in jedem Ereignis enthalten und werden in der Reihenfolge der Ausführung zusammengefasst.
  • Die Liste der einzelnen Warnungen in der Gruppe. Sie können auf eine einzelne Warnung klicken, um Einzelheiten dazu anzuzeigen. Sie können auch den vollständigen Satz von Artefakten öffnen, die mit der Warnung verknüpft sind, dargestellt als Symbole. Die Artefakte enthalten den vollständigen Satz Facetten, die von der zugrunde liegenden Erkennungs-Engine erfasst werden. Wie die Schlüsselindikatoren werden diese Artefakte visuell dargestellt, um die Beziehung zwischen übergeordneten, untergeordneten und gleichgeordneten Objekten anzuzeigen. Bei Mehrfacherkennungs-Warnungen sind die Schlüsselindikatoren in jedem Ereignis enthalten und werden in der Reihenfolge der Ausführung zusammengefasst.
  • Sie können KI-gestützte Aurora Security Assistant verwenden, um eine zusammenfassende Analyse einer Warnungsgruppe und eine detaillierte Analyse für Prozess- und Skript-Artefakte innerhalb einer Warnungsgruppe bereitzustellen. Aurora Security Assistant nutzt umfassende Wissensquellen zu Cybersicherheit, um wertvolle Informationen zur Verfügung zu stellen, die Sie bei der Bedrohungsuntersuchung unterstützen. Weitere Informationen finden Sie unter Verwendung KI-gestützter Aurora Security Assistant zur Untersuchung von Benachrichtigungen.

Abhängig von den Warnungstypen in einer Gruppe können Sie auch Verwaltungsaktionen ausführen. Bei Aurora Protect Desktop-Bedrohungswarnungen können Sie beispielsweise eine Datei zur globalen Sicherheitsliste oder zur globalen Quarantäneliste hinzufügen oder aus dieser entfernen.