Wissensdatenbank

Zurück zur Support-Übersicht

Managed Threat Hunting (MTH) powered by ThreatDown ist ein Cloud-basierter Service zur Erkennung potenzieller Angriffe, die mit Bedrohungsinformationen, automatisierten und orchestrierten Reaktionen und einem Indikator für die Zusammenfassung und Eskalation von Kompromittierungen durch ein Team von Sicherheitsmitarbeitern korreliert sind.

Dieser Artikel richtet sich an alle MTH-Kunden.

Features von Managed Threat Hunting

  • 24x7x365 Malwarebytes Endpoint Detection and Response (EDR) Anleitung zur aktiven Bedrohungssuche und -behebung.
  • Geschultes Sicherheitspersonal mit Erfahrung in der Betreuung von Kunden verschiedener Größen und Branchen.
  • Künstliche Back-End-Intelligenz und maschinelles Lernen , unterstützt durch eine proprietäre Analyse-Engine.
  • Cloud-basierte, proprietäre Backend-Plattform mit integrierten Informationsquellen.
  • 31-Tage-Rückblick auf kritische Kompromittierungsindikatoren (IoCs).
  • Vorfälle werden diskret über das Nebula® ThreatDown-Portal gemeldet.
  • Kundengesteuerte, abgestufte Benachrichtigungen basierend auf dem Schweregrad des Vorfalls.

Erste Schritte

TeamViewer bestätigt dies über ein Pop-up, sobald der Dienst in Ihrem Konto aktiviert ist. Wählen Sie die Schaltfläche MTH einrichten aus, um mit der Ersteinrichtung fortzufahren.

Richten Sie auf dem nächsten Bildschirm den primären, den Backup- und den alternativen Kontakt ein. Wählen Sie das Dropdown-Menü "Primärer Kontakt" und wählen Sie das gewünschte Mitglied Ihres Unternehmensprofils aus. Wenn nicht automatisch eingegeben, geben Sie die primäre Telefonnummer dieses Kontakts ein.

Anmerkung: Es wird nur der Hauptansprechpartner benötigt. Backup- und alternative Kontakte können bei Bedarf hinzugefügt werden.

Wenn Sie fertig sind, klicken Sie in der oberen rechten Ecke des Bildschirms auf Speichern. Eine Popup-Benachrichtigung zeigt an, dass Managed Threat Hunting erfolgreich aktiviert wurde.

Hinweis: EDR muss aktiviert werden, bevor versucht wird, Managed Threat Hunting zu aktivieren. Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, das MTH-Add-on zu aktivieren, bevor Sie Endpoint Detection & Response aktiviert haben.

So greifen Sie auf das MTH-Portal zu

Das Managed Threat Hunting (MTH) Portal verwaltet alle Aspekte des Dienstes. Sie können darauf zugreifen, indem Sie den Button Nebula auswählen, den Sie in den Einstellungen oder im Reiter Detections finden. In Nebula wählen Sie Managed Services, um alle gemeldeten Cases und Incidents zu sehen.

Entdecken Sie das MTH Portal

Das MTH-Portal, das von ThreatDown betrieben wird, ist das Kontroll-Dashboard für Ihre Lizenz. Innerhalb des Portals befindet sich die Registerkarte Managed Services, auf der alle von MTH bereitgestellten Berichte zu finden sind.  

Managed Services ist in zwei Hauptbereiche unterteilt:

Übersicht

Die Registerkarte Übersicht bietet eine zentrale, übersichtliche Zusammenfassung Ihrer Managed Services-Fälle durch eine Sammlung von interaktiven Widgets. Diese Widgets wurden entwickelt, um auf Anhieb einen Einblick in die Fallaktivität zu geben und den Benutzern zu helfen, die Sicherheitslage ihrer Nebula-Umgebung effektiv zu überwachen und zu bewerten. Durch die Darstellung prägnanter und relevanter Daten dient die Registerkarte Übersicht als Ausgangspunkt für das Verständnis von Trends, die Identifizierung von Problembereichen und die Festlegung von Prioritäten für Maßnahmen.

Diese Registerkarte ist besonders nützlich, um bösartige Aktivitäten in Ihrer Umgebung schnell zu erkennen. Sie unterstützt das zeitliche Filtern, so dass Benutzer den Umfang der angezeigten Informationen auf einen bestimmten Zeitraum eingrenzen können. Diese Funktion erleichtert die Analyse von Trends oder die Untersuchung von Vorfällen innerhalb eines bestimmten Zeitrahmens.

Die folgenden Widgets sind auf unter Übersicht verfügbar:

  1. Cases by Stage: Dieses Widget bietet einen allgemeinen Überblick über die Fallaktivität, indem es die Fälle nach ihrem aktuellen Stadium im Lebenszyklus der Vorfallsreaktion kategorisiert. Auf diese Weise können Benutzer den Fortschritt eines Falls verfolgen, z. B. ob er neu eröffnet, untersucht oder gelöst wurde.
  2. Cases by Priority: Dieses Widget zeigt die Anzahl der offenen Fälle gruppiert nach ihrer Prioritätsstufe an. Durch die Hervorhebung der Dringlichkeit der einzelnen Fälle können die Benutzer schnell feststellen, welche Fälle eine hohe Priorität haben und sofortige Aufmerksamkeit erfordern, um sicherzustellen, dass kritische Probleme umgehend angegangen werden.
  3. Top Case Close Reasons: Dieses Widget zeigt die häufigsten Gründe für die Schließung von Fällen an, die von Analysten ermittelt wurden. Die Zusammenfassung dieser Trends bietet wertvolle Einblicke in die wiederkehrenden Faktoren, die zu Fallabschlüssen führen, und hilft den Teams, ihre Reaktionsstrategien zu optimieren und zukünftige Ergebnisse zu verbessern.

 

Cases

Die Registerkarte Cases auf der Seite Managed Services zeigt eine Liste der offenen Fälle und deren Details an. Die folgenden Informationen sind unter Cases verfügbar:

  • Alerts: Anzahl der mit dem Fall verbundenen Erkennungen.
  • Assigned analyst: Dem Fall zugewiesener Analytiker. 
  • Case name: Erkennung (DE) oder Verdächtige Aktivität (SA), gefolgt vom Endpunktnamen und dem Pfad der Erkennung.
  • Close reason: Grund, aus dem der Analytiker den Fall geschlossen hat.
  • Closed at Zeitpunkt, an dem der Fall geschlossen wurde.
  • Created at: Zeitpunkt, zu dem der Fall geöffnet wurde.
  • Endpoint: Name des Geräts mit den Alarmen.
  • ID: Fall-ID
  • Priority: Dringlichkeit des Falles.
  • Stage: Aktuelle Phase des Falles.
  • Status: Eröffneter oder abgeschlossener Fall.
  • Updated at: Letztes Mal, als der Fall aktualisiert wurde.

So zeigen Sie Case Details an

Um die Details eines MTH-Falls anzuzeigen, klicken Sie auf die ID-Nummer in der Spalte ID. Daraufhin werden die folgenden Informationen angezeigt:

  • Communications & History  

Die Registerkarte Communications & History im Case Details bietet eine umfassende Aufzeichnung der Fallaktivitäten. Dazu gehören die Kommunikation zwischen Analytikern, detaillierte Anweisungen zur Behebung des Problems und ein Protokoll der während der Untersuchung durchgeführten Maßnahmen.  

Um die angezeigten Informationen zu verfeinern, können Sie die Symbole verwenden, um bestimmte Ereignisse zu filtern, z. B. Kommentare, Statusaktualisierungen oder andere wichtige Änderungen, um einen schnellen Zugriff auf die wichtigsten Details zu gewährleisten.  

  • Alerts & Artifacts  

Ein einzelner Fall kann mehrere Alerts umfassen, die oft mehrere miteinander verbundene bösartige Aktivitäten auf demselben Endpunkt darstellen. Diese Alerts werden gruppiert, um die Analyse zu optimieren und den Kontext zu verbessern. Auf der Registerkarte Alerts & Artifacts können Sie die zugehörigen Alerts und zugehörigen Elemente eines Falls überprüfen. Für eine genauere Untersuchung bietet die Schaltfläche Go to detection neben jeder Warnung direkten Zugriff auf die spezifische Erkennung oder verdächtige Aktivität, die mit diesem Fall verbunden ist. 

So richten Sie MTH ein, um den Schutz Ihrer Endpunkte zu optimieren

MTH erfordert bestimmte Einstellungen von EDR, um erfolgreich zu funktionieren. Diese Einstellungen finden Sie in den Richtlinieneinstellungen von Endpoint Protection. Um darauf zuzugreifen, navigieren Sie zu den Admin-Einstellungen und wählen Sie unter Geräteverwaltung die Option Richtlinien aus. Wenn Sie bereits eine Richtlinie erstellt haben, können Sie diese bearbeiten. Andernfalls können Sie eine neue Richtlinie erstellen, indem Sie in der Dropdown-Liste Richtlinie die Option Endpoint Protection auswählen. Bitte stellen Sie sicher, dass die folgenden Einstellungen unter dem entsprechenden Betriebssystem aktiv sind:

  1. Überwachung verdächtiger Aktivitäten
  2. Überwachung des Server-Betriebssystems
  3. Endpunkt sperren, wenn er isoliert ist
  4. Ransomware-Rollback

5. Überwachung verdächtiger Aktivitäten

6. Endpunkt sperren, wenn er isoliert ist

So stellen Sie effiziente Benachrichtigungen sicher

Das Einrichten aller notwendigen Benachrichtigungen ist wichtig, um sicherzustellen, dass Sie und Ihr Team vor potenziellen Bedrohungen wachsam bleiben. Die folgenden Informationen beziehen sich auf Benachrichtigungen speziell für Managed Threat Hunting.

Anmerkung: Benachrichtigungen werden in der Nebula-Konsole von ThreatDown verwaltet.

Wenn Sie eine neue Benachrichtigung erstellen, wählen Sie "Aktivität für verwaltete Dienste" aus.  

Es wird empfohlen, einige Bedingungen für den Zeitpunkt des Sendens von Benachrichtigungen hinzuzufügen. So stellen Sie sicher, dass Ihre Administratoren nicht mit Nachrichten überlastet werden, die nicht ihre Aufmerksamkeit erfordern.

Wählen Sie die einzelnen Feldoptionen unten aus, um die verfügbaren Werte anzuzeigen:

ist gleich

  • Alle
  • Fall erstellt
  • Aktualisierter Fall
  • Fall geschlossen

ist gleich

  • Alle
  • Kritisch
  • Hoch
  • Mittel
  • Niedrig

ist gleich

  • STIMMT
  • FALSCH

Wählen Sie im nächsten Abschnitt aus, wie die Benachrichtigungen gesendet werden sollen. Zusätzlich zu den E-Mails können Sie auswählen, ob Sie über Slack/Microsoft Teams, Webhook oder die ThreatDown Admin-App benachrichtigt werden möchten.

Im letzten Schritt kann die Aggregation aktiviert werden, wodurch die erhaltenen Benachrichtigungen reduziert und eine stärkere Fokussierung ermöglicht wird. Dadurch werden mehrere Warnungen in einzelnen Benachrichtigungen konsolidiert, die auf dem von Ihnen ausgewählten Intervall und der Gruppierungsoption sowie den zuvor ausgewählten Aktivitätstypen, Bedingungen und Übermittlungsmethoden basieren.

Wählen Sie in der unteren rechten Ecke Abschließen aus, um die neue Benachrichtigung zu speichern.