Was sind Netskope-Incidents?
Resumen: Mithilfe dieser Anweisungen können Netskope-Incidents geprüft werden.
Síntomas
Ein Netskope-Incident ist jede Aktion, die außerhalb des Normalbetriebs liegt, wie er von einem Netskope-Administrator entweder über benutzerdefinierte oder vorgefertigte Profile festgelegt wurde. Netskope unterteilt diese Incidents in Data Loss Prevention (DLP)-Vorfälle, Anomalien, kompromittierte Anmeldeinformationen oder Dateien, die unter Quarantäne gestellt oder in einen Legal-Hold-Aufbewahrungsstatus versetzt wurden.
Betroffene Produkte:
Netskope
Causa
Nicht zutreffend.
Resolución
So greifen Sie auf die Incident-Seiten zu:
- Navigieren Sie in einem Webbrowser zur Netskope-Webkonsole:
- Rechenzentrum in den USA: https://[TENANT].goskope.com/
- Rechenzentrum in der EU: https://[TENANT].eu.goskope.com/
- Rechenzentrum in Frankfurt: https://[TENANT].de.goskope.com/
- Melden Sie sich an bei der Netskope-Webkonsole.
- Klicken Sie auf Incidents.
- Klicken Sie auf die entsprechende IncidentsSeite.
Klicken Sie für weitere Informationen zu Incidents auf die entsprechende Option.
Die Seite DLP enthält Informationen zu DLP-Incidents in Ihrer Umgebung.
Die Seite DLP enthält diese Informationen zu jedem DLP-Incident:
- Object: Zeigt die Datei oder das Objekt an, die bzw. das den Verstoß ausgelöst hat. Durch Klicken auf das Objekt wird eine Seite mit weiteren Details geöffnet, auf der Sie den Status ändern, Incidents zuweisen, den Schweregrad ändern und Maßnahmen ergreifen können.
- Anwendung: Zeigt die Anwendung an, die den Verstoß ausgelöst hat.
- Gefährdung: Zeigt Dateien an, die nach Gefährdung kategorisiert sind, z. B. Public - Indexed, Public - Unlisted, Public, Private, Externally Shared, Internally Shared und Enterprise Shared.
- Verstoß: Zeigt die Anzahl der Verstöße innerhalb der Datei an.
- Letzte Aktion: Zeigt die zuletzt durchgeführte Aktion an.
- Status: Zeigt den Status des Ereignisses an. Es gibt drei Statuskategorien: New, In Progress und Resolved.
- Zuständig: Zeigt an, wer mit der Überwachung des Ereignisses beauftragt ist.
- Schweregrad: Zeigt den Schweregrad an. Es gibt vier Stufen: Niedrig, Mittel, Hoch und Kritisch.
- Zeitstempel: Zeigt das Datum und die Uhrzeit des Verstoßes an.
Die Seite „Anomalies“ enthält Informationen über die verschiedenen Arten erkannter Anomalien.
Es gibt drei Seitenkategorien für Anomalien. Klicken Sie für weitere Informationen auf die entsprechende Kategorie.
Auf der Zusammenfassungsseite werden die Gesamtanzahl Anomalien, Anomalien nach Risikostufe und anomale Dimensionen (Prozentsatz pro Kategorie) angezeigt. Es gibt auch Tabellen, die Anomalien je Profil und Nutzer anzeigen. Ein Abfragefeld kann verwendet werden, um nach bestimmten Anomalien zu suchen. Die Zusammenfassungsseite enthält außerdem Filter für Anomalien nach Risikostufe, allen oder neuen und basierend auf einem bestimmten Profil.
Klicken Sie auf By Profile, um die Anzahl der jeweils für einen Typ erkannten Anomalien zusammen mit dem neuesten Zeitstempel anzuzeigen. Nur die Profile für erkannte Anomalien werden angezeigt.
Klicken Sie auf By User, um zu sehen, wie viele Anomalien jeder Nutzer hat, zusammen mit der Verteilung der Risikostufen. Klicken Sie auf ein Element, um die Detailseite für spezifische Informationen zu Profilen oder Nutzern zu öffnen.
Auf der Detailseite werden weitere Einzelheiten zu Anomalien angezeigt. Alle oder bestimmte Anomalien können von dieser Seite aus bestätigt werden. Ein Abfragefeld kann verwendet werden, um nach bestimmten Anomalien zu suchen. Die Detailseite enthält außerdem Filter für Anomalien nach Risikostufe, allen oder neuen Anomalien und basierend auf einem bestimmten Profil.
Die Informationen auf der Detailseite umfassen:
- Risikostufe
- E-Mail-Adresse des Nutzers
- Profiltyp
- Beschreibung
- Dimension
- Zeitstempel
Klicken Sie auf ein Element, um detaillierte Risiko-, Anwendungs- und Nutzerinformationen anzuzeigen. Um eine oder mehrere der Anomalien zu entfernen, aktivieren Sie das Kontrollkästchen neben einem Element und klicken Sie auf Acknowledgeoder Acknowledge all.
Auf der Seite zum Konfigurieren können Sie die Nachverfolgung von Anomalieprofilen aktivieren oder deaktivieren und konfigurieren, wie Anomalien überwacht werden.
Um ein Profil zu konfigurieren, klicken Sie auf das Bleistiftsymbol in der Spalte „Configuration“. Klicken Sie zum Konfigurieren der Anwendungen auf Select Applications. Klicken Sie auf Apply Changes, um Ihre Konfigurationen zu speichern.
Verfügbare Profile:
| Profile | Verwendung |
|---|---|
| Anwendungen | Konfigurieren Sie die Anwendungen, die Sie zur Erkennung von Anomalien verwenden möchten. |
| Näherungsereignis | Konfigurieren Sie die Entfernung (in Meilen) zwischen zwei Standorten oder die Zeit (in Stunden) für den Zeitpunkt der Standortänderung. Darüber hinaus können Sie vertrauenswürdige Netzwerkstandorte auf eine Allowlist setzen, sodass Sie Ihre vertrauenswürdigen Netzwerke identifizieren und die Erkennung von Näherungsanomalien optimieren können. |
| Seltenes Ereignis | Konfigurieren Sie einen Zeitraum für ein seltenes Ereignis in Tagen. |
| Fehlgeschlagene Anmeldungen | Konfigurieren Sie die Anzahl der fehlgeschlagenen Anmeldungen und das Zeitintervall. |
| Massendownload von Dateien | Konfigurieren Sie die Anzahl der heruntergeladenen Dateien und das Zeitintervall. |
| Massenupload von Dateien | Konfigurieren Sie die Anzahl der hochgeladenen Dateien und das Zeitintervall. |
| Massenlöschung von Dateien | Konfigurieren Sie die Anzahl der gelöschten Dateien und das Zeitintervall. |
| Datenexfiltration | Aktivieren oder Deaktivieren Sie die Übertragung oder den Abruf von Daten von einem Computer oder Server. |
| Freigegebene Anmeldedaten | Konfigurieren Sie das Zulassen oder Verweigern freigegebener Anmeldeinformationen in Zeitintervallen. |
Das Dashboard „Compromised Credentials“ informiert Sie über bekannte kompromittierte Anmeldedaten für die Konten, die von Ihren Mitarbeitern verwendet werden.
Das Dashboard "Compromised Credentials" umfasst:
- Gesamtzahl der Nutzer mit kompromittierten Anmeldedaten
- Identifizierte und erkannte Nutzer.
- Medienreferenzen von Datenschutzverletzungen im Tabellen- und Diagrammformat.
- Die E-Mail-Adresse eines infizierten Nutzers.
- Datenquellenstatus.
- Informationsquelle.
- Datum, an dem die Anmeldedaten kompromittiert wurden.
Um eine oder mehrere der kompromittierten Anmeldedaten zu entfernen, aktivieren Sie das Kontrollkästchen neben einem Element und klicken Sie entweder auf Acknowledge oder Acknowledge All.
Die Seite zu Malware enthält Informationen über Malware, die in der Umgebung gefunden wurde.
Die Seite Malware umfasst:
- Malware: Die Anzahl der durch den Scan erkannten Malwareangriffe.
- Betroffene Nutzer: Die Anzahl der Nutzer mit Dateien, die von einem bestimmten Malwareangriff betroffen sind.
- Betroffene Dateien: Die Anzahl der Dateien, die unter Quarantäne gestellt wurden oder die eine Warnmeldung ausgelöst haben.
- Malware-Name: Der Name der erkannten Schadsoftware.
- Malware-Typ: Die Art der erkannten Malware.
- Schweregrad: Der Schweregrad, der der Malware zugewiesen ist.
- Datum der letzten Aktion: Das Datum, an dem die erste Datei durch den Scan erkannt wurde und eine Aktion basierend auf dem ausgewählten Quarantäneprofil durchgeführt wurde.
Klicken Sie auf ein Element auf der Seite, um umfassendere Details anzuzeigen oder die Datei unter Quarantäne zu stellen, wiederherzustellen oder als sicher zu markieren.
Auf der Seite „Malicious Websites“ können Sie sehen, welche potenziell bösartigen Websites Endpunkte aufrufen.
Die Informationen auf dieser Seite umfassen:
- Zulässige Standorte: Websites, die Ihre Nutzer besucht haben und nicht blockiert wurden.
- Gesamtzahl bösartiger Websites: Die Gesamtzahl der bösartigen Websites, die besucht wurden.
- Nutzer mit Erlaubnis: Die Anzahl der Nutzer, die nicht daran gehindert werden, eine bösartige Website zu besuchen.
- Website: IP-Adresse oder URL der bösartigen Website.
- Schweregrad: Schweregradbewertung für die bösartige Website.
- Kategorie: Typ der erkannten bösartigen Website.
- Standortziel: Speicherort, von dem die Malware heruntergeladen wurde.
Die Seite „Quarantine“ zeigt eine Liste der in Quarantäne befindlichen Dateien an.
Die Seite „Quarantine“ enthält die folgenden Informationen über die in Quarantäne befindliche Datei:
- Datum: Datum, an dem die Datei unter Quarantäne gestellt wurde.
- Dateiname: Dateiname der Datei zum Zeitpunkt der Quarantäne.
- Ursprünglicher Dateiname: Ursprünglicher Name der unter Quarantäne gestellten Datei.
- Policy-Name: Der Name der durchgesetzten Policy, aufgrund derer die Datei unter Quarantäne gestellt wurde.
- Verstoß: Der Policy-Verstoß, aufgrund dessen die Datei unter Quarantäne gestellt wurde.
- Dateieigentümer: Eigentümer der unter Quarantäne gestellten Datei.
- Erkennungsmethode: Methode, mit der der Verstoß erkannt wurde.
Sie können Aktionen für jede der isolierten Dateien durchführen. Aktivieren Sie das Kontrollkästchen neben einer isolierten Datei und klicken Sie unten rechts auf:
- Kontaktinhaber: Sie können sich an den Eigentümer der isolierten Datei wenden.
- Dateien herunterladen: Sie können die Tombstone-Datei herunterladen.
- Maßnahmen ergreifen: Sie können die Tombstone-Datei entweder wiederherstellen oder blockieren.
Die Seite „Legal Hold“ enthält eine Liste der Dateien, die aufgrund gesetzlicher Anordnung aufbewahrt werden müssen.
Die Seite „Legal Hold“ enthält die folgenden Informationen über die Datei, die aufgrund gesetzlicher Anordnung aufbewahrt wird:
- Datum: Datum, seit dem für die Datei eine gesetzliche Aufbewahrungsfrist gilt.
- Dateiname: Name der Datei zum Anfangszeitpunkt der gesetzlichen Aufbewahrungsfrist.
- Ursprünglicher Dateiname: Ursprünglicher Name der Datei, für die eine gesetzliche Aufbewahrungsfrist gilt.
- Policy-Name: Der Name der durchgesetzten Policy, aufgrund derer die Datei einer gesetzlichen Aufbewahrungsfrist unterliegt.
- Verstoß: Der Policy-Verstoß, aufgrund dessen die Datei einer gesetzlichen Aufbewahrungsfrist unterliegt.
- Dateieigentümer: Eigentümer der Datei, die einer gesetzlichen Aufbewahrungsfrist unterliegt.
- Erkennungsmethode: Methode, mit der der Verstoß erkannt wurde.
Sie können Maßnahmen für jede Dateien ergreifen, die einer gesetzlichen Aufbewahrungsfrist unterliegen. Aktivieren Sie das Kontrollkästchen neben einer Datei, die einer gesetzlichen Aufbewahrungsfrist unterliegt, und klicken Sie unten rechts auf eine der folgenden Optionen:
- Kontaktinhaber: Damit kontaktieren Sie den Eigentümer der Datei.
- Dateien herunterladen: Dadurch wird die Datei heruntergeladen.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.