# Übersicht
> **SCU-Kostenschätzung**
>
> Dieser Agent verbraucht typischerweise **0,2-3 SCUs** pro Vorfallsanalyse, abhängig von der Komplexität des Vorfalls, der Anzahl der beteiligten Entitäten und dem Grad der Anreicherung mit Threat Intelligence.
### Einführung
Forensic Agent Core ist Ihr automatisierter Vorfallsanalyst. Wenn Sie jemals auf einen Defender XDR-Vorfall geschaut und gedacht haben: „Ich brauche die ganze Geschichte, nicht nur verstreute Alarme“, dann ist dieser Agent genau das Richtige für Sie. Er nimmt eine Vorfalls-ID, führt alles Relevante zusammen, reichert es mit Threat Intelligence an, erstellt eine minutengenaue Zeitleiste und liefert einen umfassenden forensischen Bericht, für den normalerweise stundenlange manuelle Ermittlungen nötig wären.
### Was er tut
* **Rekonstruiert Vorfalls-Zeitleisten** Minute für Minute aus verstreuten Alarmen und Ereignissen
* **Extrahiert und ordnet Entitäten zu** (Geräte, Benutzer, IPs, Domains, Dateien, Hashes) und deren Beziehungen
* **Angereichert mit Threat Intelligence** unter Verwendung mehrerer Quellen (Shodan, SSL-Zertifikate, WHOIS, CIRCL, Reputationsdienste)
* **Analysiert den Sicherheitsstatus von Geräten** und zeigt Schwachstellen, Software und Konfigurationen
* **Verfolgt Identitätsaktivitäten** mit Risikoereignissen und Authentifizierungsmustern
* **Korrelierte Kommentare von Analysten** um den Untersuchungskontext bereitzustellen
* **Klassifiziert Vorfälle** als True Positive, False Positive oder als eskalationsbedürftig mit Bewertung der böswilligen Absicht
* **Empfiehlt Maßnahmen zur Behebung** mit priorisierten, umsetzbaren Schritten
* **Generiert standardisierte Berichte** bereit für Übergaben, Audits oder Eskalationen
### Anwendungsfälle
#### 1. Vorfall-Triage und erste Bewertung
Sie haben einen neuen Vorfall mit hoher Schwere und müssen schnell verstehen, was passiert ist. Forensic Agent Core analysiert den Vorfall, erstellt eine Zeitleiste, identifiziert wichtige Entitäten und liefert eine Klassifizierung (True/False Positive) mit Vertrauensbewertung. Statt 30–60 Minuten mit dem Sammeln von Kontext zu verbringen, erhalten Sie in wenigen Minuten ein vollständiges Bild.
#### 2. Vorbereitung von Vorfallsberichten für das Management
Die Führungsebene möchte eine klare Erklärung zu einem Sicherheitsvorfall. Der Agent erstellt einen umfassenden forensischen Bericht mit einer Executive Summary, Zeitleiste, Entitätenkarte, Threat-Intel-Erkenntnissen und Empfehlungen zur Behebung. Alles ist standardisiert und präsentationsbereit, ohne dass manuelle Berichtserstellung nötig ist.
#### 3. Anreicherung mit Threat Intelligence
Ein Vorfall betrifft externe IPs und Domains, aber Sie wissen nicht, ob diese bösartig sind. Forensic Agent Core reichert alle Indikatoren mit Open-Source- und kommerzieller Threat Intelligence an (Shodan-Portscans, Analyse von SSL-Zertifikaten, WHOIS-Daten, Malware-Zuordnungen, Reputationswerte). Sie erhalten kuratierte Informationen, die hervorheben, was tatsächlich wichtig ist.
#### 4. Tiefgehende forensische Analyse
Ein kritischer Vorfall erfordert vor der Reaktion eine detaillierte Untersuchung. Der Agent führt fortgeschrittene Hunting-Abfragen aus, extrahiert alle zugehörigen Entitäten, analysiert den Status von Geräten und Identitäten, korreliert Ereignisse zu einer präzisen Zeitleiste und liefert forensische Details darüber, was passiert ist, wann und wie. Sparen Sie Stunden manueller Korrelationsarbeit.
#### 5. Übergaben und Eskalationen im SOC-Team
Sie müssen einen Vorfall an Tier 2 oder ein externes Forensik-Team eskalieren. Der standardisierte Bericht des Agents liefert vollständigen Kontext, Zeitleiste, Entitätsbeziehungen, Threat Intelligence und erste Analysen. Das empfangende Team kann sofort übernehmen, ohne Rückfragen stellen oder die Recherche erneut durchführen zu müssen.
### Warum Forensic Agent Core?
| Das Problem, mit dem Sie sich befassen | Wie das hilft |
| ----------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------ |
| **Verstreute Alarme überall**: Der Vorfall hat Dutzende von Alarmen, unklar ist, wie sie zusammenhängen | **Vollständige Zeitleiste**: Minutengenaue Rekonstruktion, die zeigt, wie Ereignisse zusammenhängen |
| **Fehlender Kontext**: Alarme zeigen, was passiert ist, aber nicht warum oder was es bedeutet | **Entitätszuordnung**: Vollständiges Bild von Geräten, Benutzern, IPs, Domains und ihren Beziehungen |
| **Manuelle Threat-Intel-Abfragen**: Indikatoren in mehrere Tools zu kopieren dauert ewig | **Automatisierte Anreicherung**: Alle Indikatoren werden mit kuratierten Informationen aus mehreren Quellen angereichert |
| **Geräte- und Identitätsdaten nicht verbunden**: Sie können nicht sehen, wie sich Benutzeraktivitäten auf Geräteereignisse beziehen | **Integrierte Analyse**: Gerätezustand und Identitätsaktivität in einer Ansicht korreliert |
| **Zeitdruck bei Berichten**: Das Management will eine detaillierte Analyse, aber Sie haben 30 Minuten | **Fertige Berichte**: Umfassender forensischer Bericht wird automatisch erstellt |
| **Rauschhafte Intel-Feeds**: Zu viele Informationen, unklar, was tatsächlich wichtig ist | **Kuratierte Erkenntnisse**: Der Agent hebt hervor, was wichtig ist, und filtert das Rauschen heraus |
### So funktioniert es
**Was eingeht:**
* Vorfalls-ID aus Microsoft Defender XDR
* Zugehörige Alarme, Entitäten und Beweise
* Kommentare und Untersuchungsnotizen des Analysten
* Daten zu Geräte- und Benutzeraktivitäten
* Threat-Intelligence-Feeds (Shodan, CIRCL, Reputationsdienste)
**Was es tut:**
* Ruft vollständige Vorfalldaten einschließlich aller Alarme und Entitäten ab
* Führt fortgeschrittene Hunting-Abfragen durch, um zugehörige Aktivitäten zu finden
* Extrahiert alle Entitäten (Geräte, Benutzer, IPs, Domains, Dateien, Hashes)
* Erstellt eine Entitätsbeziehungsübersicht
* Rekonstruiert eine minutengenaue Zeitleiste aus Ereignissen
* Reichert externe Indikatoren mit Threat Intelligence an
* Analysiert den Sicherheitsstatus von Geräten (Schwachstellen, Software, Konfiguration)
* Verfolgt Identitätsaktivitäten und Risikoereignisse
* Korrelieren Analystenkommentare mit der Zeitleiste
* Klassifiziert den Vorfall mit Bewertung der böswilligen Absicht
* Generiert priorisierte Empfehlungen zur Behebung
**Was Sie erhalten:**
* Executive Summary mit den wichtigsten Erkenntnissen und der Klassifizierung
* Minutengenaue Zeitleiste des Vorfallsverlaufs
* Entitäteninventar mit Beziehungen (wer, was, wo, wann)
* Zusammenfassung des Sicherheitsstatus von Geräten (Schwachstellen, Software, Sicherheitskontrollen)
* Zusammenfassung der Identitätsaktivitäten (Authentifizierung, Risikoereignisse, Verhalten)
* Erkenntnisse zur Threat Intelligence:
* Offene Ports/Dienste/Schwachstellen (Shodan)
* Metadaten und Validierung von SSL-Zertifikaten
* WHOIS-Registrierungsdaten
* Malware-Zuordnungen und Dateireputation (CIRCL)
* Reputationswerte für IPs/Domains
* Vorfallklassifizierung (True Positive, False Positive, Eskalieren)
* Vertrauensbewertung der böswilligen Absicht
* Priorisierte Empfehlungen zur Behebung mit konkreten Maßnahmen
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://agents.glueckkanja.com/de/agents/forensic-agent-core/overview.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.