IOCs verwalten

Gilt für: WatchGuard Advanced EPDR

In der Galerie der Kompromittierungsindikatoren verwalten Sie die für Suchaufgaben verfügbaren IOC-Listen. Sie können IOCs hinzufügen, kopieren, bearbeiten, genehmigen und löschen.

Sie können ebenso IOCs aus der Galerie der Kompromittierungsindikatoren importieren und exportieren. Weitere Informationen finden Sie unter IOCs importieren und exportieren.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Nach Kompromittierungsindikatoren suchen und verwalten haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Einen IOC erstellen

Wenn Sie einen IOC erstellen, steht dieser automatisch zur Nutzung in WatchGuard Advanced EPDR zur Verfügung. Sie können einen IOC von Grund auf neu erstellen oder einen bestehenden IOC kopieren und diesen bearbeiten.

So erstellen Sie einen Kompromittierungsindikator:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie einen Namen, Autor und eine Beschreibung ein.
  6. Aus der Dropdown-Liste Wählen Sie eine Eigenschaft aus wählen Sie die Angriffsfunktion, die Sie erkennen wollen:
    • Datei MD5: Sucht nach einer Datei mit dem angegeben MD5-Hash.
    • Datei SHA-256: Sucht nach einer Datei mit dem angegeben SHA-256-Hash
    • Dateiname: Sucht nach einer Datei mit dem angegeben Namen.
    • Dateipfad: Sucht nach einer Datei mit dem angegeben Pfad.
    • Domäne: Sucht nach einer Netzwerkverbindung über TCP oder UDP von oder zu der angegebenen Domäne.
    • IPv4: Sucht nach einer TCP- oder UDP-Verbindung zu oder von der angegeben IPv4-Adresse.
    • IPv6: Sucht nach einer TCP- oder UDP-Verbindung zu oder von der angegeben IPv6-Adresse.
    • YARA-Richtlinie: Sucht nach einer Datei mit dem Inhalt, der mit dem in der YARA-Richtlinie beschriebenen Muster übereinstimmt.

      7. Ein IOC darf nicht mehr als eine YARA-Richtlinie beinhalten. Wenn Sie eine YARA-Richtlinie zu einem leeren IOC hinzufügen, können Sie keine sonstigen Eigenschaften verwenden. Gleichermaßen wird, falls Sie einem IOC weitere Eigenschaften hinzufügen, die YARA-Richtlinie deaktiviert. Falls eine Richtlinie nicht der YARA-Syntax entspricht, wird eine Fehlermeldung angezeigt und Sie können den IOC nicht abspeichern.

  7. In der Dropdown-Liste Wählen Sie einen Betreiber aus geben Sie an, wie Sie die auf dem Computer gefundenen Eigenschaften mit dem von Ihnen im IOC gesetzten Referenzwert vergleichen wollen.
    • In: Eine auf dem Computer gefundene Eigenschaft muss mindestens mit einem Eigenschaftswert im Werte-Textfeld übereinstimmen.
    • Ist gleich: Alle auf dem Computer gefundenen Eigenschaften müssen genau mit den von Ihnen im Textfeld Wert angegebenen Eigenschaftswerten übereinstimmen.
  8. Geben Sie in das Textfeld Werte einen Wert für die von Ihnen ausgewählte Eigenschaft ein.

    Um mehr als einen Wert einzugeben, geben Sie einen Wert ein und drücken Sie daraufhin Eingabe. Platzhalter werden nicht unterstützt.
  9. Um eine weitere Bedingung hinzuzufügen, klicken Sie auf Neue Bedingung. Wiederholen Sie die Schritte 6 bis 8.
  10. Um zwei oder mehr Bedingungen in einer einzigen Richtlinie zu kombinieren, aktivieren Sie das Kontrollkästchen neben jeder Bedingung, die Sie kombinieren möchten und wählen Sie den logischen Operator (UND oder ODER). Klicken Sie Bedingungen gruppieren.
    Eine graue Linie verbindet die Richtlinien, die Teil der Gruppierung sind, ähnlich wie Klammern Bedingungen in einem logischen Ausdruck gruppieren. Klammern ermöglichen es Ihnen, Operanden auf verschiedenen Ebenen in einem logischen Ausdruck zu gruppieren.

So kopieren Sie einen IOC:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. In der Zeile des IOC, den Sie kopieren wollen, klicken Sie auf Das Optionen-Symbol. und wählen Sie Kopie erstellen.

    Das Dialogfeld Kompromittierungsindikator bearbeiten wird geöffnet.
  5. Geben Sie in das Textfeld Name einen neuen Namen für den IOC ein.
  6. Geben Sie in das Textfeld Beschreibung eine neue Beschreibung für den IOC ein.
  7. Bearbeiten Sie die IOC-Einstellungen. Weitere Informationen finden Sie in den Schritten 6 bis 8 im Verfahren Einen IOC erstellen.
  8. Klicken Sie auf OK.

IOCs bearbeiten und genehmigen

Wenn Sie IOCs importieren, müssen Sie die Suchanweisung prüfen und genehmigen, bevor eine Suchaufgabe den IOC verwenden kann. IOCs, die eine Genehmigung erfordern, werden als STIX (Genehmigung ausstehend) angezeigt.

Informationen zum Importieren von IOC finden Sie unter IOCs importieren und exportieren.

So bearbeiten und genehmigen Sie einen IOC:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. Wählen Sie den IOC, den Sie bearbeiten oder genehmigen wollen.
    Das Dialogfeld Kompromittierungsindikator bearbeiten wird geöffnet.
  5. Bearbeiten Sie Name und Beschreibung, falls erforderlich.
  6. Bearbeiten Sie die Merkmale, die zum Erkennen von Computern verwendet werden, falls erforderlich.
  7. Klicken Sie Suchanweisung genehmigen.
  8. Klicken Sie auf Speichern.

Einen IOC löschen

Sie können keine IOCs löschen, die Teil einer laufenden Aufgabe sind. Wenn Sie einen IOC löschen, verbleiben historische Daten für den IOC in der Liste Erkannte Kompromittierungsindikatoren und im IOC-Dashboard.

So löschen Sie einen einzelnen IOC:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. In der Zeile des IOC, den Sie löschen wollen, klicken Sie auf Das Optionen-Symbol. und wählen Sie Löschen.
    Der IOC wird aus der Liste gelöscht.

So löschen Sie mehrerer IOCs:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie Galerie der Kompromittierungsindikatoren.
  4. Aktivieren Sie das Kontrollkästchen für jeden IOC, den Sie löschen wollen.
  5. Klicken Sie in der Symbolleiste auf Das Löschen-Symbol. Löschen.

Ähnliche Themen

Kompromittierungsindikatoren (IOCs) in WatchGuard Advanced EPDR

Über die Galerie der Kompromittierungsindikatoren

IOCs importieren und exportieren

IOC-Suchaufgaben erstellen