Anzeigen und Verwalten von aggregierten Warnungen

Stellen Sie sicher, dass Ihre Administratorrolle über die erforderlichen Berechtigungen zur Verwendung der Ansicht „Warnungen“ verfügt. Die Berechtigung zum Anzeigen von Warnungen bietet schreibgeschützten Zugriff auf die Ansicht „Warnungen“. Sie benötigen die Berechtigungen „Warnungen bearbeiten“ und „Warnungen löschen“, um Änderungen an Warngruppen und einzelnen Warnungen in dieser Ansicht vorzunehmen. Wenn Sie die Ansicht „Warnungen“ verwenden möchten, um eine Datei aus Bedrohungswarnungen von Aurora Protect Desktop zur globalen Sicherheitsliste oder globalen Quarantäneliste hinzuzufügen oder eine Datei aus diesen Listen zu entfernen, benötigt Ihre Rolle die entsprechenden Berechtigungen für globale Listen. Weitere Informationen finden Sie unter Einrichten von Administratoren in der Dokumentation zur Einrichtung.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Warnungen.
    Um die Spalten auszuwählen, die Sie anzeigen möchten, scrollen Sie nach rechts und klicken Sie auf Das Symbol „Spaltenauswahl“.
  2. Führen Sie eine der folgenden Aktionen aus:

    Aufgabe

    Schritte

    Warngruppen filtern und sortieren.
    1. Klicken Sie in einer Spalte auf Das Symbol „Spaltenfilter“ und geben Sie die Filterkriterien ein oder wählen Sie sie aus. Sie haben folgende Möglichkeiten:
      • Mehrere Filterkriterien auf einmal anwenden. Um einen Filter zu entfernen, klicken Sie auf das x für diesen Filter.
      • Wenn Sie nach Klassifizierung, Unterklassifizierung, Beschreibung oder Schlüsselindikatoren filtern möchten, gehen Sie nach einer der folgenden Methoden vor:
        • Um genaue Übereinstimmungen zu finden, klicken Sie auf Das Symbol „Einstellungen“ > ist gleich. Geben Sie einen Wert ein, um Übereinstimmungen anzuzeigen. Klicken Sie auf bis zu 5 Übereinstimmungen, die der Filterliste hinzugefügt werden sollen, und klicken Sie dann auf Anwenden.
        • Um Übereinstimmungen zu finden, die den angegebenen Wert enthalten, klicken Sie auf Das Symbol „Einstellungen“ > enthält. Geben Sie einen oder mehrere Werte ein (klicken Sie auf Hinzufügen-Symbol., um weitere Werte hinzuzufügen). Klicken Sie auf Anwenden.

        Wenn Sie die Ergebnisse anzeigen, können Sie auf den oben im Bildschirm angezeigten Filter klicken, um Filterkriterien hinzuzufügen oder zu entfernen.

      • Wenn Sie nach Anzahl filtern, klicken Sie auf Das Symbol „Einstellungen“, um weitere Optionen anzuzeigen (größer als, kleiner als usw.).
      • Filtern Sie nach Produkt, um die Ergebnisse für bestimmte Aurora Endpoint Security-Dienste zu beschränken.
      • Filtern Sie nach Erkennungszeit, um die Ergebnisse auf einen bestimmten Datums- und Uhrzeitbereich einzugrenzen.
    2. Um die Warngruppen in auf- oder absteigender Reihenfolge anhand einer Spalte zu sortieren, klicken Sie auf den Namen der Spalte (wo zutreffend).

    Details für Schlüsselindikatoren einer Warngruppe anzeigen, und Warngruppen nach Schlüsselindikatortyp oder -wert filtern.
    1. Bewegen Sie den Mauszeiger über ein Schlüsselindikatorsymbol, um den Typ des Objekts oder Ereignisses anzuzeigen. Klicken Sie auf ein Symbol, um Details anzuzeigen.
    2. Wenn Sie den vollständigen Text eines abgeschnittenen String-Werts anzeigen möchten, bewegen Sie den Mauszeiger darüber und klicken Sie auf Das Symbol „Anzeigen“., wo zutreffend.
    3. Wenn Sie einen Wert kopieren möchten, bewegen Sie den Mauszeiger darüber und klicken Sie auf Das Symbol „Kopieren“., wo zutreffend.
    4. Um Warngruppen nach Schlüsselindikator zu filtern, bewegen Sie den Mauszeiger darüber und klicken Sie auf Das Symbol „Filtern“..

    Details für eine Warngruppe und einzelne Warnungen anzeigen.
    1. Klicken Sie auf eine Warngruppe.
    2. Blättern Sie im linken Fensterbereich nach unten, um die Beziehungen zwischen den auslösenden und Zielobjekten anzuzeigen. In dieser Ansicht wird ein einzelner Satz von Schlüsselindikatoren angezeigt, die mit einzelnen Ereignissen (Dateien, Benutzer, ausführbare Dateien, Prozesse usw.) verknüpft sind.

      Sie können beispielsweise ein Objekt eines übergeordneten Prozesses oder eine ausführbare Datei sehen, die den auslösenden Prozess für einen untergeordneten Prozess darstellt. Ereignisse oder Objekte auf derselben Ebene werden unter demselben übergeordneten Element als gleichgeordnet betrachtet.

      Wo zutreffend, können Sie den Mauszeiger über Werte bewegen und auf Das Symbol „Anzeigen“. klicken, um Volltextzeichenfolgen anzuzeigen, oder auf Das Symbol „Kopieren“., um den Wert zu kopieren. Bei Prozess- und Skript-Artefakten können Sie auf klicken, Das Symbol „Cylance Assistent“. um eine Analyse mit dem Aurora Security Assistantzu generieren. Weitere Informationen finden Sie unter Verwendung KI-gestützter Aurora Security Assistant zur Untersuchung von Benachrichtigungen.

    3. Führen Sie für die einzelnen Gerätewarnungen einen der folgenden Schritte aus:
      • Sortieren und filtern Sie die Informationen über Warnungen.
      • Ändern Sie den Status der Warnungen. Siehe Statusänderungen für Warnungen.
      • Weisen Sie Warnungen einem Benutzer zu.
      • Fügen Sie Bezeichnungen für die Warnungen hinzu oder ändern Sie diese.
    4. Um den Detailbereich für eine bestimmte Warnung zu öffnen, klicken Sie auf die Warnung. Führen Sie eine der folgenden Aktionen aus:
      • Falls zutreffend, können Sie auf Erkennungsdetails klicken, um weitere Details und Aktionen in anderen Bereichen der Konsole anzuzeigen (z. B. in der Aurora Focus-Erkennungen). Der Link „Erkennungsdetails“ bleibt bei Aurora Protect Desktop-Bedrohungswarnungen 60 Tage und bei anderen Arten von Warnmeldungen 30 Tage aktiv.
      • Erweitern Sie die mit der Warnung verknüpften Artefakte, um Details zu prüfen und Beziehungen zwischen den auslösenden und Zielobjekten und -ereignissen anzuzeigen. Der vollständige Satz Objekte, die mit einer Erkennungsregel verknüpft sind, ist in der Ansicht „Artefakte“ enthalten.

        Wo zutreffend, können Sie den Mauszeiger über Werte bewegen und auf Das Symbol „Anzeigen“. klicken, um Volltextzeichenfolgen anzuzeigen, oder auf Das Symbol „Kopieren“., um den Wert zu kopieren. Bei Prozess- und Skript-Artefakten können Sie auf klicken, Das Symbol „Cylance Assistent“. um eine Analyse mit dem Aurora Security Assistantzu generieren. Weitere Informationen finden Sie unter Verwendung KI-gestützter Aurora Security Assistant zur Untersuchung von Benachrichtigungen.

    Aurora Managed Endpoint Defense-Support anfordern

    Diese Funktion ist nur für Aurora Managed Endpoint Defense On-Demand-Abonnements verfügbar.

    Wenn Sie eine Benachrichtigung beobachtet haben, die Ihrer Meinung nach verdächtig ist, und Sie die Bedrohung von einem Experten analysieren lassen möchten, können Sie ggf. Unterstützung von einem Aurora Managed Endpoint Defense-Analysten anfordern. Die Benachrichtigung wird zur Untersuchung an einen Analysten eskaliert. Sie können das Aurora Managed Endpoint Defense-Portal verwenden, um über den Bildschirm „Eskalationen“ mit dem Analysten über die eskalierte Benachrichtigung zu kommunizieren. Beispielsweise werden Sie möglicherweise aufgefordert, weitere Details zur Benachrichtigung anzugeben.

    1. Klicken Sie auf eine Warngruppe, die Bedrohungswarnungen von Aurora Protect Desktop enthält.
    2. Klicken Sie im rechten Fensterbereich auf die Schaltfläche CylanceMDR-Support.
    3. Klicken Sie auf Support anfordern, um zu bestätigen, dass Sie die Benachrichtigung an einen Analysten eskalieren möchten.
    4. Verfolgen Sie die Anfrage über das Aurora Managed Endpoint Defense (CylanceGUARD)-Portal. Siehe Aurora Managed Endpoint Defense-Dokumentation.

    Wenn Sie eine Rund-um-die-Uhr-Bedrohungsüberwachung wünschen, sollten Sie die Standard- oder erweiterten Aurora Managed Endpoint Defense-Abonnements in Betracht ziehen. Weitere Informationen finden Sie in der Übersicht zu Aurora Managed Endpoint Defense.

    Aurora Protect Desktop-Bedrohungswarnungen: Dateien zu der globalen Sicherheitsliste oder der globalen Quarantäneliste hinzufügen oder daraus entfernen.
    1. Klicken Sie auf eine Warngruppe, die Bedrohungswarnungen von Aurora Protect Desktop enthält.
    2. Klicken Sie auf Aktionen > Globale Liste verwalten.

      Der SHA256-Hash der Datei, die mit den Bedrohungswarnungen verknüpft ist, wird angezeigt. Eine Benachrichtigung wird bereitgestellt, wenn die Datei bereits in der globalen Sicherheitsliste oder der globalen Quarantäneliste vorhanden ist.

    3. Wählen Sie die entsprechende Aktion aus, um die Datei der globalen Sicherheitsliste oder der globalen Quarantäneliste hinzuzufügen oder sie daraus zu entfernen. Wenn die Datei bereits in der globalen Sicherheitsliste oder der globalen Quarantäneliste vorhanden ist, können Sie sie in die andere Liste verschieben.
    4. Wenn Sie die Datei zur globalen Sicherheitsliste hinzufügen, klicken Sie in der Dropdown-Liste Kategorie auf die entsprechende Kategorie.
    5. Wenn Sie die Datei zu einer Liste hinzufügen, geben Sie den Grund ein.
    6. Klicken Sie auf Speichern.

    Die Änderungen werden auf die entsprechende Sicherheits- oder Quarantäneliste angewendet. An der Warngruppe in der Ansicht „Warnungen“ werden keine Änderungen vorgenommen.

    Ändern Sie den Status von Warngruppen.
    Führen Sie eine der folgenden Aktionen aus:
    • Um den Status einer Warngruppe zu ändern, klicken Sie in der Dropdown-Liste Status auf den entsprechenden Status.
    • Um den Status mehrerer Warngruppen zu ändern, wählen Sie die Warngruppen aus, klicken Sie auf Status ändern. Klicken Sie auf den entsprechenden Status und dann auf Anwenden.

    Siehe Statusänderungen für Warnungen.

    Weisen Sie Warngruppen einem Benutzer zu.
    Führen Sie eine der folgenden Aktionen aus:
    • Um einem Benutzer eine Warngruppe zuzuweisen, klicken Sie in der Spalte Empfänger auf +, suchen Sie nach einem Benutzer, klicken Sie darauf und klicken Sie auf Zuweisen.
    • Um einem Benutzer mehrere Warngruppen zuzuweisen, wählen Sie die Warngruppen aus und klicken Sie auf Warnung zuweisen. Suchen Sie nach einem Benutzer, wählen Sie ihn aus und klicken Sie dann auf Zuweisen.

    Fügen Sie eine Bezeichnung für Warngruppen hinzu oder ändern Sie sie.

    Sie können benutzerdefinierte Bezeichnungen zu Warngruppen hinzufügen, um kurze Notizen oder Erinnerungen bereitzustellen oder um sie als Filterkriterien zu verwenden. Um Bezeichnungen anzuzeigen, müssen Sie die Spalte „Bezeichnungen“ auf „Anzeigen“ setzen.

    1. Wählen Sie eine oder mehrere Warngruppen aus.
    2. Klicken Sie auf Bezeichnungen ändern.
    3. Geben Sie eine Bezeichnung ein und drücken Sie die EINGABETASTE oder suchen Sie nach einer vorhandenen Bezeichnung und wählen Sie sie aus.
    4. Klicken Sie auf Anwenden.

    Um eine Bezeichnung zu entfernen, klicken Sie auf die Bezeichnung, klicken Sie auf das X-Symbol und dann auf Anwenden.

    Exportieren Sie Benachrichtigungsdaten.
    Führen Sie eine der folgenden Aktionen aus:
    • Um Details für alle Warngruppen zu exportieren, klicken Sie auf Symbol „Exportieren“. Geben Sie den Dateinamen an, und klicken Sie auf Exportieren.
    • Um Details für alle Warnungen innerhalb einer Gruppe zu exportieren, klicken Sie auf eine Warngruppe und dann auf Symbol „Exportieren“. Geben Sie den Dateinamen an, und klicken Sie auf Exportieren.

    Löschen Sie Benachrichtigungsgruppen.
    1. Wählen Sie eine oder mehrere Warngruppen aus.
    2. Klicken Sie auf Löschen.
    3. Klicken Sie zur Bestätigung erneut auf Löschen.

    Löschen von Benachrichtigungsgruppen aus den Filterergebnissen
    1. Filtern Sie die Benachrichtigungsgruppen nach den entsprechenden Kriterien.
    2. Führen Sie einen der folgenden Schritte aus:
      • Um alle Benachrichtigungsgruppen aus den Filterergebnissen zu löschen, aktivieren Sie das Kontrollkästchen oben links, und klicken Sie auf Alle löschen. Klicken Sie zur Bestätigung erneut auf Alle löschen.
      • Um bestimmte Benachrichtigungsgruppen aus den Filterergebnissen zu löschen, wählen Sie die Benachrichtigungsgruppen aus und klicken Sie auf Löschen. Klicken Sie zur Bestätigung erneut auf Löschen.