Indicators of Attack-Vorfälle

Die Liste der Indicators of Attack (IoA)-Vorfälle enthält detaillierte Informationen zu bestimmten Angriffen auf Ihr Active Directory (AD). Anhand dieser Informationen können Sie je nach Schweregradstufe des IoA die erforderlichen Maßnahmen ergreifen.

So zeigen Sie Angriffsvorfälle an:

  1. Klicken Sie in Tenable Identity Exposure im Navigationsbereich auf Indicators of Attack.

    Der Fensterbereich Indicators of Attack wird geöffnet.

  2. Klicken Sie auf eine beliebige Domänenkachel.

    Daraufhin wird der Fensterbereich Liste der Vorfälle mit einer Liste der Vorfälle angezeigt, die in der Domäne aufgetreten sind.

  3. In dieser Liste können Sie die folgenden Aufgaben ausführen:

    • Suchkriterien zum Suchen nach bestimmten Vorfällen definieren ❶.

    • Detaillierte Erläuterungen zu den Angriffen aufrufen, die das AD betreffen ❷.

    • Einen Vorfall schließen oder erneut öffnen ❸.

    • Einen Bericht mit allen Vorfällen herunterladen ❹.

So suchen Sie nach einem Vorfall:

  1. Geben Sie im Feld Suchen den Namen einer Quelle oder eines Ziels ein.

  2. Klicken Sie auf die Datumsauswahl, um ein Startdatum und ein Enddatum für den Vorfall auszuwählen.

  3. Klicken Sie auf n/n Indikatoren, um die zugehörigen Indikatoren auszuwählen.

  4. Stellen Sie den Umschalter Geschlossene Vorfälle auf Ja, um die Suche auf geschlossene Vorfälle zu beschränken.

  5. Klicken Sie auf Aktualisieren.

    Tenable Identity Exposure aktualisiert die Liste mit den übereinstimmenden Vorfällen.

So schließen Sie einen Vorfall:

  1. Wählen Sie in der Liste der Vorfälle einen Vorfall aus, den Sie schließen oder erneut öffnen möchten.

  1. Klicken Sie unten im Fensterbereich auf das Dropdown-Menü und wählen Sie Ausgewählte Vorfälle schließen aus.

  1. Klicken Sie auf OK.

    In einer Meldung werden Sie aufgefordert, den Schließvorgang zu bestätigen.

  1. Klicken Sie auf Bestätigen.

    In einer Meldung wird bestätigt, dass Tenable Identity Exposure den Vorfall geschlossen hat und ihn nicht länger anzeigt.

So öffnen Sie einen Vorfall erneut:

  1. Klicken Sie im Fensterbereich Liste der Vorfälle auf den Umschalter Geschlossene Vorfälle, um ihn auf Ja zu setzen.

    Tenable Identity Exposure aktualisiert die Liste mit geschlossenen Vorfällen.

  2. Wählen Sie den Vorfall aus, den Sie erneut öffnen möchten.

  3. Klicken Sie unten im Fensterbereich auf das Dropdown-Menü und wählen Sie Ausgewählte Vorfälle erneut öffnen aus.

  4. Klicken Sie auf OK.

    In einer Meldung wird bestätigt, dass Tenable Identity Exposure den Vorfall erneut geöffnet hat.

Tipp: Sie können Vorfälle auch in einem Massenvorgang schließen oder erneut öffnen. Klicken Sie unten im Fensterbereich auf Angezeigte Objekte auswählen.

Vorfallsdetails

Jeder Eintrag in der Liste der Vorfälle umfasst die folgenden Informationen:

  • Datum – Das Datum, an dem der Vorfall, der den IoA ausgelöst hat, aufgetreten ist. Tenable Identity Exposure zeigt den jüngsten Vorfall am Anfang der Zeitleiste an.

  • Quelle – Die Quelle, von der der Angriff ausgegangen ist, und ihre IP-Adresse.

  • Angriffsvektor – Eine Erklärung, was während des Angriffs geschah.

    Tipp: Bewegen Sie den Mauszeiger über den Angriffsvektor, um weitere Informationen zum IoA anzuzeigen.
  • Ziel – Das Ziel des Angriffs und seine IP-Adresse.

  • Angriffsname – Der technische Name des Angriffs.

  • Domäne – Die vom Angriff betroffenen Domänen.

    Tipp: Tenable Identity Exposure kann maximal fünf Fensterbereiche anzeigen, wenn Sie in der Liste der Vorfälle auf mehrere interaktive Elemente (Links, Aktionsschaltflächen usw.) klicken. Um alle Fensterbereiche gleichzeitig zu schließen, klicken Sie auf eine beliebige Stelle auf der Seite.

Angriffsdetails

In der Liste der Vorfälle können Sie einen bestimmten Angriff aufschlüsseln und erforderliche Maßnahmen ergreifen, um ihn zu beheben.

So zeigen Sie Angriffsdetails an:

  1. Wählen Sie in der Liste der Vorfälle einen Vorfall aus, den Sie aufschlüsseln möchten, um Details anzuzeigen.

  2. Klicken Sie auf Details.

    Tenable Identity Exposure zeigt die Details zum Angriff an:

Siehe auch