Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=active-threat-response-configure-logs

Protokolle und Warnmeldungen für die aktive Bedrohungsabwehr

Sie können Protokolleinstellungen, Warnungen und Benachrichtigungen für Bedrohungsfeeds konfigurieren, um Protokolle lokal in der Firewall zu speichern und Protokolle an Syslog-Server und Sophos Central zu senden.

Protokolleinstellungen konfigurieren

Um die Protokolleinstellungen zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehe zu Systemdienste > Protokolleinstellungen.

  2. Unter Protokolleinstellungen, wählen Reaktion auf aktive Bedrohungen für die folgenden Optionen:

    1. Lokale Berichterstattung.
    2. Syslog-Server, die Sie konfigurieren.

    3. Zentrale Berichterstattung.

      Die Spalte erscheint, nachdem Sie ausgewählt haben. Senden Sie Berichte und Protokolle an Sophos Central. auf der Sophos Central-Seite in der Firewall.

  3. Klicken Anwenden.

Notiz

Um Warnungen und Benachrichtigungen zu generieren, gehen Sie zu Systemdienste > Benachrichtigungsliste.

Siehe die Protokolle.

Die Firewall implementiert zunächst MDR-Bedrohungsfeeds, sofern diese konfiguriert sind. Informationen darüber, wie sie Ereignisse im Zusammenhang mit IoCs protokolliert, die in allen Bedrohungsfeeds vorhanden sind, finden Sie hier: Wie die Firewall die aktive Bedrohungsabwehr implementiert.

Informationen zu den von NDR Essentials protokollierten Bedrohungen finden Sie unter Bedrohungsprotokolle anzeigen.

Zusammenfassung

  • Gehe zu Protokollanzeige: und wählen Sie Reaktion auf aktive Bedrohungen um die blockierten Indikatoren für eine Kompromittierung (IoCs) anzuzeigen.
  • Wenn Sie Synchronized Security verwenden, finden Sie zusätzliche Informationen wie Benutzer, Host und Prozess, um entsprechende Maßnahmen zu ergreifen.
  • Um MDR-Analysten zu einem von MDR identifizierten IoC zu befragen, suchen Sie dessen Audit-ID in den Protokollen. Sie benötigen die ID, um den Feed zu identifizieren.

Details zur Endpoint-Bedrohung

Wird eine Bedrohung erkannt, fragt die Firewall die von Sophos Central verwalteten Endpunkte nach Informationen wie Host, Benutzer und Prozess ab.

So sehen Sie die Details

Nutzen Sie die folgenden Optionen:

  • Protokollanzeige:

    1. Wählen Reaktion auf aktive Bedrohungen aus der Dropdown-Liste.
    2. Überprüfen Sie die Prozessbenutzer Und Ausführbar Spalten.
    3. Prüfen Sie außerdem die Protokolle im detaillierten Format.

  • Berichte:

    1. Klicken Netzwerk & Bedrohungen.
    2. Wählen Reaktion auf aktive Bedrohungen aus der Dropdown-Liste.
    3. Überprüfen Sie die Synchronisierte IoC Liste.
Bedrohungsdetails

Die Details zur Endpunktbedrohung lauten wie folgt:

  • host_process_user
  • endpoint_id
  • execution_path

Notiz

Die Host-, Benutzer- und Prozessdetails können Sie auf Endpunkten einsehen, die Windows 7 und spätere Versionen verwenden.

Diese Details werden auf macOS-Endpunkten nicht angezeigt. Stattdessen erscheint eine allgemeine Warnung, beispielsweise „Aktive Bedrohung C2/Generic-C gelöscht“. Um den Endpunkt zu identifizieren, suchen Sie nach der Quell-IP-Adresse in Protokollanzeige in der Firewall.

Endpoint log.

Endpoint details.

MDR-Sicherheitsanalysten-Audit-ID

Wenn ein MDR-Sicherheitsanalyst einen IoC hinzufügt oder entfernt, z. B. eine IP-Adresse, eine Domäne oder eine URL, wird das Ereignis protokolliert, wobei die Aktion und die Identität des Sicherheitsanalysten (audit_ID) angezeigt werden.

Um MDR-Analysten nach einem Bedrohungsfeed zu fragen, suchen Sie deren Audit-ID in den Protokollen. Sie benötigen die ID, um den Feed zu identifizieren.

Sie können die Aktion und die Audit-ID mithilfe einer der folgenden Optionen anzeigen:

  • In Protokollanzeige: Wählen Sie die Schaltfläche „Detailansicht“ und anschließend die Option „Auswählen“. Administrator aus der Dropdown-Liste.
  • In Sophos Central gehen Sie zu Meine Produkte > Firewall-Verwaltung > Aufgabenwarteschlange.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen