Startseite / Blog / IR Erste 60 Minuten
Vorfall

Reaktion auf Vorfälle: 12 Schritte, die Sie in den ersten 60 Minuten unternehmen sollten

Der Alarm ist angekommen – keine Panik. Reihenfolge der Eindämmung, Beweiserhebung und Kommunikation.

K
Kerem M.
2. Mai 2026 · 11 Minuten Lesezeit

Wenn der kritische Alarm eintrifft, bestimmen Entscheidungen in der ersten Stunde den Schaden. Dieses Playbook richtet sich an SIEM-fokussierte SOC-Teams.

  1. Alarm überprüfen – falsch positiv? Öffnen Sie die relevanten Protokollzeilen.
  2. Vorfall öffnen — Einzelticket, alle zugehörigen Alarme verbinden.
  3. Betroffene Vermögenswerte auflisten — IP, Benutzer, Host.
  4. Eindämmung – Firewall verweigert, Konto deaktiviert (genehmigt).
  5. Protokolle sperren – Löschen Sie die Aufbewahrung nicht, sondern holen Sie sich ein forensisches Paket.
  6. Zeitleiste – Füllen Sie die SIEM-Timeline-Ansicht aus.
  7. Kontakt — Management- und RechtsInformationen.
  8. Grundursachenhypothese – nicht weitergeben, bis es bewiesen ist.
  9. Markieren Sie MITRE — T1110, T1190 usw. für die Berichterstattung.
  10. Verbesserung — Regel aktualisieren, Erkennungslücke schließen.

Der OxiSec Vorfall Builder gruppiert automatisch zugehörige Alarme; KI liefert eine Zusammenfassung „was passiert ist/was zu tun ist“.

Analysieren Sie Ihre Protokolle mit OxiSec

Installation in 15 Minuten · Der Gemeinschaft-Plan ist kostenlos

Kostenlos starten →