Über Vorfälle
3. Juli 2024
ID 276796
Was genau ist ein Vorfall?
Im Sinne der Informationssicherheit stellt ein Vorfall jedes unvorhergesehene oder unerwünschte Ereignis dar, das die normale Aktivität oder die Informationssicherheit stören könnte.
Als Ereignis bezeichnet man die identifizierten äußerlichen Anzeichen für einen bestimmten Zustand eines Systems, Dienstes oder Netzwerks.
Das Hauptkriterium für die Entscheidung, ob es sich bei einer beobachteten Aktivität um einen Vorfall handelt, stellt im Rahmen der Kaspersky MDR-Lösung die Fähigkeit dar, wirksame Maßnahmen zu treffen, um möglichen Schäden durch diese Aktivität entgegenzuwirken, diese zu verhindern oder zu mindern. In der folgenden Tabelle finden Sie Beispiele für mögliche Vorfallkriterien und Maßnahmen für eine Reaktion in Abhängigkeit von der Quelle des Ereignisses.
Beispiele für Kriterien zur Erkennung von Vorfällen und Reaktionsmaßnahmen
Quelle des Ereignisses | Mögliche Vorfallkriterien | Mögliche Reaktionen auf den Vorfall |
|---|---|---|
Endpunkt-Gerät |
|
|
Endpunkt-Gerät + Netzwerk | Sicherheitsereignis einer unterstützten Technologie für Netzwerkerkennung und Bestätigung des Ereignisses auf dem Endpunkt-Gerät |
|
Szenarien der Vorfallerkennung
Szenario 1. Vorfallerkennung durch die Kaspersky MDR-Lösung
In diesem Szenario wird ein Vorfall, der die Informationssicherheit betrifft, durch den Einsatz von Kaspersky MDR erkannt. Der Vorfall wird im Tracking-System für Vorfälle automatisch protokolliert. Die standardmäßige Prioritätsstufe eines solchen Vorfalls kann später geändert werden, allerdings muss für die Änderung ein Grund gemäß der Tabelle mit Prioritätsstufen für Vorfälle (siehe unten) angegeben werden. Kaspersky MDR verarbeitet protokollierte Vorfälle, um unverzüglich Informationen über den Zustand der IT-Infrastruktur des Kunden zu erhalten.
Wenn durch die Analyse die ursprünglichen Ursachen des Vorfalls identifiziert werden können, werden dem Kunden entsprechende Reaktionsempfehlungen vorgeschlagen. Wenn nur unzureichende Informationen vorhanden sind, um die ursprüngliche Ursache des Vorfalls zu ermitteln, werden dem Kunden alle verfügbaren Informationen und Analyseergebnisse zur unabhängigen Untersuchung zur Verfügung gestellt.
Szenario 2. Vorfallerkennung durch den Kunden (das Erstellen benutzerdefinierter Vorfälle ist für einige kommerzielle Lizenzstufen nicht verfügbar)
In diesem Szenario wird ein Vorfall, der die Informationssicherheit betrifft, durch den Kunden und unabhängig von Kaspersky MDR erkannt. Wenn der Vorfall durch Kaspersky MDR verarbeitet werden muss, kann der Kunde den Vorfall manuell protokollieren und alle verfügbaren Informationen über den erkannten Vorfall mithilfe der Funktionen von Kaspersky MDR bereitstellen. Standardmäßig ist die Prioritätsstufe eines solchen Vorfalls auf Niedrig festgelegt. Alternativ kann der Kunde bei der Protokollierung des Vorfalls einen anderen Wert angegeben.
Die weitere Bearbeitung des Vorfalls verläuft ähnlich wie in Szenario 1.
Prioritätsstufen für Vorfälle
Prioritätsstufen für Vorfälle und deren Beschreibungen
Prioritätsstufe eines Vorfalls | Beschreibung |
|---|---|
Hoch | Vorfälle, die nach Einschätzung der Experten von AO Kaspersky Lab zu erheblichen Störungen oder zu unbefugtem Zugriff auf die von Kaspersky MDR überwachten Kunden-Assets führen können. Dies können beispielsweise identifizierte Spuren eines gezielten Angriffs oder einer unbekannten Bedrohung sein, die der weiteren Untersuchung mit digitalen forensischen Methoden bedürfen. |
Mittel | Vorfälle, die nach Einschätzung der Experten von AO Kaspersky Lab die Effizienz oder Leistung der von Kaspersky MDR überwachten Kunden-Assets beeinträchtigen können oder die zu einer einmaligen Datenbeschädigung führen können. |
Niedrig | Vorfälle, die sich nach Einschätzung der Experten von AO Kaspersky Lab nicht wesentlich auf die Effizienz oder Leistung der er von Kaspersky MDR überwachten Kunden-Assets auswirken. Dies kann beispielsweise die Erkennung von potenziell unerwünschter Software wie Adware oder Riskware sein. |
Die standardmäßig eingestellte Prioritätsstufe für Vorfälle ist Niedrig.
Leistungsziele für die Ergreifung von Maßnahmen
Die Reaktionszeit und der Zielwert zur Ergreifung von Maßnahmen durch Kaspersky MDR sind Abhängig von der Priorität des Vorfalls
Prioritätsstufe eines Vorfalls | Reaktionszeit | Zielwert |
|---|---|---|
Hoch | 1 Stunde | 90 % |
Mittel | 4 Stunden | 90 % |
Niedrig | 24 Stunden | 90 % |
Ein Vorfall gilt als erledigt, wenn dem Kunden die Empfehlungen für Reaktionsmaßnahmen übermittelt wurden.
* Die Reaktionszeit entspricht der verstrichenen Zeit zwischen der Erkennung eines Vorfalls (Erstellungszeitpunkt) und der Veröffentlichung in der MDR Web Console (Update-Zeitpunkt).
** Der Zielwert entspricht dem Prozentsatz der Vorfälle, bei denen die Reaktionszeit der in der Tabelle angegebenen Zielsetzung entspricht.