Wenn Sie eine Suche nach Bedrohungen ausführen, wird eine Liste der Geräte angezeigt, auf denen verdächtige Dateien oder Bedrohungen erkannt wurden.
Die Suche nach Bedrohungen ist nur verfügbar, wenn Sie Intercept X Advanced with EDR oder Intercept X Advanced with EDR for Server verwenden.
Klicken Sie neben einem Gerät Details anzeigen. Eine Seite öffnet sich, auf der Sie die Historie jedes Elements einsehen können.
Auf der Detailseite können Sie zudem folgende Maßnahmen durchführen (abhängig vom erkannten Element):
Wenn Sie mehrere Geräte betroffen sind, können Sie diese auf der Hauptseite auf einmal isolieren.
Die Spalte Letzter Status zeigt diese Ereignisse für verdächtige Dateien:
Erkannt: Die Suche hat die Datei entdeckt, aber keine Bedrohung darin erkannt.
Erkannt: Die Suche hat eine Bedrohung in der Datei erkannt.
Hinzugefügt: Die Datei wurde auf dem Gerät hinzugefügt.
Ausgeführt: Die Datei wurde ausgeführt.
Reputation aktualisiert: Sophos hat die Reputationsstufe der Datei aktualisiert oder ein Sophos Central Admin hat die Datei erlaubt oder blockiert (wodurch die „lokale“ Reputation aktualisiert wird).
Pfad aktualisiert: Die Datei wurde verschoben.
Entfernt: Die Datei wurde vom Gerät entfernt.
Um das Gerät zu isolieren, wählen Sie es aus und klicken Sie auf Isolieren.
Sie können isolierten Geräten erlauben eingeschränkt mit anderen Computern zu kommunizieren. Sie können dies in den Endpoint- und Server- Threat Protection-Richtlinien tun.
So überprüfen, bereinigen und blockieren Sie eine Bedrohung:
So gehen Sie mit einer verdächtigen Anwendung um:
Dadurch wird die verdächtige Anwendung auf den Geräten, auf denen sie gefunden wurde, bereinigt und auf allen weiteren Geräten blockiert.
Sie können Anwendungen auch bereinigen und blockieren, indem Sie sie der Liste Blockierte Elemente hinzufügen.
Sie können Geräte aus der Isolation entfernen, nachdem Sie sie untersucht und Maßnahmen ergriffen haben.