Über Vorfälle

Was genau ist ein Vorfall?

Im Sinne der Informationssicherheit stellt ein Vorfall jedes unvorhergesehene oder unerwünschte Ereignis dar, das die normale Aktivität oder die Informationssicherheit stören könnte.

Als Ereignis bezeichnet man die identifizierten äußerlichen Anzeichen für einen bestimmten Zustand eines Systems, Dienstes oder Netzwerks.

Das Hauptkriterium für die Entscheidung, ob es sich bei einer beobachteten Aktivität um einen Vorfall handelt, stellt im Rahmen der Kaspersky MDR-Lösung die Fähigkeit dar, wirksame Maßnahmen zu treffen, um möglichen Schäden durch diese Aktivität entgegenzuwirken, diese zu verhindern oder zu mindern. In der folgenden Tabelle finden Sie Beispiele für mögliche Vorfallkriterien und Maßnahmen für eine Reaktion in Abhängigkeit von der Quelle des Ereignisses.

Beispiele für Kriterien zur Erkennung von Vorfällen und Reaktionsmaßnahmen

Quelle des Ereignisses

Mögliche Vorfallkriterien

Mögliche Reaktionen auf den Vorfall

Endpunkt-Gerät
  • Die aktive Phase des nicht automatisch verhinderten Angriffs
  • Nachweis für das Verbleiben von Schadfunktionen im System
  • Anzeichen für frühere Vorfälle
  • Anzeichen für Aktivitäten eines internen Eindringlings auf Kundenseite (einschließlich von Fällen, in denen der Angriff erfolgreich verhindert wurde)
  • Problemerkennung durch auf Endpunkt-Geräten installierte Lösungen von AO Kaspersky Lab und Bewertung der Effizienz der automatischen Reaktionsmaßnahmen (soweit technisch möglich)
  • Empfohlene manuelle Reaktionsmaßnahmen
  • Geforderte automatische Reaktionsmaßnahmen
  • Empfehlungen zur Benutzersensibilisierung zum Thema Informationssicherheit

Endpunkt-Gerät + Netzwerk

Sicherheitsereignis einer unterstützten Technologie für Netzwerkerkennung und Bestätigung des Ereignisses auf dem Endpunkt-Gerät
  • Problemerkennung durch auf Endpunkt-Geräten installierte Lösungen von AO Kaspersky Lab sowie durch Lösungen von AO Kaspersky Lab zur Überwachung des Netzwerkdatenverkehrs und Bewertung der Effizienz automatischer Reaktionsmaßnahmen (soweit technisch möglich)
  • Empfohlene manuelle Reaktionsmaßnahmen
  • Geforderte automatische Reaktionsmaßnahmen
  • Informieren des Kunden

Szenarien der Vorfallerkennung

Szenario 1. Vorfallerkennung durch die Kaspersky MDR-Lösung

In diesem Szenario wird ein Vorfall, der die Informationssicherheit betrifft, durch den Einsatz von Kaspersky MDR erkannt. Der Vorfall wird im Tracking-System für Vorfälle automatisch protokolliert. Die standardmäßige Prioritätsstufe eines solchen Vorfalls kann später geändert werden, allerdings muss für die Änderung ein Grund gemäß der Tabelle mit Prioritätsstufen für Vorfälle (siehe unten) angegeben werden. Kaspersky MDR verarbeitet protokollierte Vorfälle, um unverzüglich Informationen über den Zustand der IT-Infrastruktur des Kunden zu erhalten.

Wenn durch die Analyse die ursprünglichen Ursachen des Vorfalls identifiziert werden können, werden dem Kunden entsprechende Reaktionsempfehlungen vorgeschlagen. Wenn nur unzureichende Informationen vorhanden sind, um die ursprüngliche Ursache des Vorfalls zu ermitteln, werden dem Kunden alle verfügbaren Informationen und Analyseergebnisse zur unabhängigen Untersuchung zur Verfügung gestellt.

Szenario 2. Vorfallerkennung durch den Kunden (das Erstellen benutzerdefinierter Vorfälle ist für einige kommerzielle Lizenzstufen nicht verfügbar)

In diesem Szenario wird ein Vorfall, der die Informationssicherheit betrifft, durch den Kunden und unabhängig von Kaspersky MDR erkannt. Wenn der Vorfall durch Kaspersky MDR verarbeitet werden muss, kann der Kunde den Vorfall manuell protokollieren und alle verfügbaren Informationen über den erkannten Vorfall mithilfe der Funktionen von Kaspersky MDR bereitstellen. Standardmäßig ist die Prioritätsstufe eines solchen Vorfalls auf Niedrig festgelegt. Alternativ kann der Kunde bei der Protokollierung des Vorfalls einen anderen Wert angegeben.

Die weitere Bearbeitung des Vorfalls verläuft ähnlich wie in Szenario 1.

Prioritätsstufen für Vorfälle

Prioritätsstufen für Vorfälle und deren Beschreibungen

Prioritätsstufe eines Vorfalls

Beschreibung

Hoch

Vorfälle, die nach Einschätzung der Experten von AO Kaspersky Lab zu erheblichen Störungen oder zu unbefugtem Zugriff auf die von Kaspersky MDR überwachten Kunden-Assets führen können.

Dies können beispielsweise identifizierte Spuren eines gezielten Angriffs oder einer unbekannten Bedrohung sein, die der weiteren Untersuchung mit digitalen forensischen Methoden bedürfen.

Mittel

Vorfälle, die nach Einschätzung der Experten von AO Kaspersky Lab die Effizienz oder Leistung der von Kaspersky MDR überwachten Kunden-Assets beeinträchtigen können oder die zu einer einmaligen Datenbeschädigung führen können.

Niedrig

Vorfälle, die sich nach Einschätzung der Experten von AO Kaspersky Lab nicht wesentlich auf die Effizienz oder Leistung der er von Kaspersky MDR überwachten Kunden-Assets auswirken.

Dies kann beispielsweise die Erkennung von potenziell unerwünschter Software wie Adware oder Riskware sein.

Die standardmäßig eingestellte Prioritätsstufe für Vorfälle ist Niedrig.

Leistungsziele für die Ergreifung von Maßnahmen

Die Reaktionszeit und der Zielwert zur Ergreifung von Maßnahmen durch Kaspersky MDR sind Abhängig von der Priorität des Vorfalls

Prioritätsstufe eines Vorfalls

Reaktionszeit

Zielwert

Hoch

1 Stunde

90%

Mittel

4 Stunden

90%

Niedrig

24 Stunden

90%

Ein Vorfall gilt als erledigt, wenn dem Kunden die Empfehlungen für Reaktionsmaßnahmen übermittelt wurden.

* Die Reaktionszeit entspricht der verstrichenen Zeit zwischen der Erkennung eines Vorfalls (Erstellungszeitpunkt) und der Veröffentlichung in der MDR Web Console (Update-Zeitpunkt).

** Der Zielwert entspricht dem Prozentsatz der Vorfälle, bei denen die Reaktionszeit der in der Tabelle angegebenen Zielsetzung entspricht.

Nach oben