Wissensdatenbank

Zurück zur Support-Übersicht

Managed Threat Hunting (MTH) powered by ThreatDown ist ein Cloud-basierter Service zur Erkennung potenzieller Angriffe, die mit Bedrohungsinformationen, automatisierten und orchestrierten Reaktionen und einem Indikator für die Zusammenfassung und Eskalation von Kompromittierungen durch ein Team von Sicherheitsmitarbeitern korreliert sind.

Dieser Artikel gilt für alle MTH-Kunden.

Funktionen von Managed Threat Hunting

  • 24x7x365 Malwarebytes Endpoint Detection and Response (EDR) Anleitung zur aktiven Bedrohungssuche und -behebung.
  • Geschultes Sicherheitspersonal mit Erfahrung in der Betreuung von Kunden verschiedener Größen und Branchen.
  • Künstliche Back-End-Intelligenz und maschinelles Lernen , unterstützt durch eine proprietäre Analyse-Engine.
  • Cloud-basierte, proprietäre Backend-Plattform mit integrierten Informationsquellen.
  • 31-Tage-Rückblick auf kritische Kompromittierungsindikatoren (IoCs).
  • Vorfälle werden diskret über das Nebula® ThreatDown-Portal gemeldet.
  • Kundengesteuerte, abgestufte Benachrichtigungen basierend auf dem Schweregrad des Vorfalls.

Erste Schritte

TeamViewer bestätigt dies über ein Pop-up, sobald der Dienst in Ihrem Konto aktiviert ist. Wählen Sie die Schaltfläche MTH einrichten aus, um mit der Ersteinrichtung fortzufahren.

Richten Sie auf dem nächsten Bildschirm den primären, den Backup- und den alternativen Kontakt ein. Wählen Sie das Dropdown-Menü "Primärer Kontakt" und wählen Sie das gewünschte Mitglied Ihres Unternehmensprofils aus. Wenn nicht automatisch eingegeben, geben Sie die primäre Telefonnummer dieses Kontakts ein.

Anmerkung: Es wird nur der Hauptansprechpartner benötigt. Backup- und alternative Kontakte können bei Bedarf hinzugefügt werden.

Wenn Sie fertig sind, klicken Sie in der oberen rechten Ecke des Bildschirms auf Speichern. Eine Popup-Benachrichtigung zeigt an, dass Managed Threat Hunting erfolgreich aktiviert wurde.

Hinweis: EDR muss aktiviert werden, bevor versucht wird, Managed Threat Hunting zu aktivieren. Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, das MTH-Add-on zu aktivieren, bevor Sie Endpoint Detection & Response aktiviert haben.

So greifen Sie auf das MTH-Portal zu

Das Managed Threat Hunting (MTH) Portal verwaltet alle Aspekte des Dienstes. Sie können darauf zugreifen, indem Sie die Schaltfläche Nebula auswählen, die Sie in den Einstellungen oder auf der Registerkarte "Erkennungen" finden. Sobald Sie in Nebula sind, wählen Sie MTH Portal in der oberen rechten Ecke.

Entdecken Sie das MTH Portal

Alle Berichte zu Bedrohungen, die von Managed Threat Hunting erkannt wurden, können im MTH-Portal eingesehen werden. Um zu den anderen Abschnitten des MTH-Portals zu navigieren, verwenden Sie das Menü in der oberen linken Ecke.

Instrumententafel

Das Dashboard enthält einen schnellen Überblick über alle Geräte und Bedrohungen, einschließlich einer Übersicht über Berichte, die von einem Monat bis zu mehr reichen. Dadurch wird auch ein Status aller Fälle, Warnungen und Vorfälle in der Umgebungszusammenfassung angezeigt.

Ihre Arbeitsmappe

Ihre Arbeitsmappe ist eine einfache Übersicht über alle Fälle, in denen Ihre Unterstützung für zusätzliche Aktionen erforderlich ist. Darüber hinaus werden hier die zuvor bereitgestellten Berichte zu allen Bedrohungen angezeigt.

So richten Sie MTH ein, um den Schutz Ihrer Endpunkte zu optimieren

MTH erfordert bestimmte Einstellungen von EDR, um erfolgreich zu funktionieren. Diese Einstellungen finden Sie in den Richtlinieneinstellungen von Endpoint Protection. Um darauf zuzugreifen, navigieren Sie zu den Admin-Einstellungen und wählen Sie unter Geräteverwaltung die Option Richtlinien aus. Wenn Sie bereits eine Richtlinie erstellt haben, können Sie diese bearbeiten. Andernfalls können Sie eine neue Richtlinie erstellen, indem Sie in der Dropdown-Liste Richtlinie die Option Endpoint Protection auswählen. Bitte stellen Sie sicher, dass die folgenden Einstellungen unter dem entsprechenden Betriebssystem aktiv sind:

  1. Überwachung verdächtiger Aktivitäten
  2. Überwachung des Server-Betriebssystems
  3. Endpunkt sperren, wenn er isoliert ist
  4. Ransomware-Rollback

5. Überwachung verdächtiger Aktivitäten

6. Endpunkt sperren, wenn er isoliert ist

So stellen Sie effiziente Benachrichtigungen sicher

Das Einrichten aller notwendigen Benachrichtigungen ist wichtig, um sicherzustellen, dass Sie und Ihr Team vor potenziellen Bedrohungen wachsam bleiben. Die folgenden Informationen beziehen sich auf Benachrichtigungen speziell für Managed Threat Hunting.

Anmerkung: Benachrichtigungen werden in der Nebula-Konsole von ThreatDown verwaltet.

Wenn Sie eine neue Benachrichtigung erstellen, wählen Sie "Aktivität für verwaltete Dienste" aus.  

Es wird empfohlen, einige Bedingungen für den Zeitpunkt des Sendens von Benachrichtigungen hinzuzufügen. So stellen Sie sicher, dass Ihre Administratoren nicht mit Nachrichten überlastet werden, die nicht ihre Aufmerksamkeit erfordern.

Wählen Sie die einzelnen Feldoptionen unten aus, um die verfügbaren Werte anzuzeigen:

ist gleich

  • Alle
  • Fall erstellt
  • Aktualisierter Fall
  • Fall geschlossen

ist gleich

  • Alle
  • Kritisch
  • Hoch
  • Mittel
  • Niedrig

ist gleich

  • STIMMT
  • FALSCH

Wählen Sie im nächsten Abschnitt aus, wie die Benachrichtigungen gesendet werden sollen. Zusätzlich zu den E-Mails können Sie auswählen, ob Sie über Slack/Microsoft Teams, Webhook oder die ThreatDown Admin-App benachrichtigt werden möchten.

Im letzten Schritt kann die Aggregation aktiviert werden, wodurch die erhaltenen Benachrichtigungen reduziert und eine stärkere Fokussierung ermöglicht wird. Dadurch werden mehrere Warnungen in einzelnen Benachrichtigungen konsolidiert, die auf dem von Ihnen ausgewählten Intervall und der Gruppierungsoption sowie den zuvor ausgewählten Aktivitätstypen, Bedingungen und Übermittlungsmethoden basieren.

Wählen Sie in der unteren rechten Ecke Abschließen aus, um die neue Benachrichtigung zu speichern.