Gilt für: ThreatSync+ NDR, ThreatSync+ SaaS
Regel-Warnmeldungen informieren Sie über nicht autorisierte oder unerwartete Aktivitäten in Ihrem Netzwerk. Wenn Sie ThreatSync+ Regeln konfigurieren, um die Zugriffsregeln Ihrer Organisation widerzuspiegeln, weist jede Regel-Warnmeldung, die Sie erhalten, auf einen Regelverstoß hin, der eine Bedrohung für Ihre Organisation darstellen könnte.
ThreatSync+ NDR-Standard-Regeln
Wenn Sie ThreatSync+ NDR erstmalig einrichten, wird eine Untergruppe von Regeln standardmäßig aktiviert. Diese sind durch das Tag Ebene 1 gekennzeichnet und generieren automatisch Regel-Warnmeldungen. Ungefähr 30 der über 75 verfügbaren Regeln sind in Ebene 1 enthalten. Diese Standard-Regel-Warnmeldungen spiegeln die Bedrohungen und Schwachstellen wider, die am häufigsten auftreten und am leichtesten zu beheben sind. Weitere Informationen finden Sie unter ThreatSync+ NDR Regeln der Ebene 1.
ThreatSync+ SaaS-Standard-Regeln
Wenn Sie eine ThreatSync+ SaaS-Integration mit einer Microsoft 365-Integration erstmals einrichten, sind sieben Regeln standardmäßig aktiviert. Diese sind durch das Tag Ebene 1 gekennzeichnet und generieren automatisch Regel-Warnmeldungen. Weitere Informationen finden Sie unter Regeln der Ebene 1 für ThreatSync+ SaaS — Microsoft 365.
Für Regel-Warnmeldungen, die auf Maschinenlernen basieren, erstellt ThreatSync+ eine Baseline der Aktivität und generiert eine Regel-Warnmeldung nur, wenn der Datenverkehr von dieser Baseline abweicht. Wenn Sie zu viele Regel-Warnmeldungen erhalten oder die Bedrohungssensibilität ändern möchten, können Sie Ihre Regeln anpassen. Weitere Informationen finden Sie unter Regel-Feinabstimmung (Policy Tuning).
Regel-Warnmeldungen überwachen
Regel-Warnmeldungen werden auf der Seite ThreatSync+ Regel-Warnmeldungen angezeigt. Die Seite ThreatSync+ Regel-Warnmeldungen bietet eine zentralisierte Liste der Regel-Warnmeldungen, damit Operatoren diese überprüfen und darauf reagieren können. Als Reaktion auf Regel-Warnmeldungen können Sie Geräte manuell blockieren oder nicht autorisierten Zugriff blockieren und Ihre Regeln so anpassen, dass sie zukünftige, unerwartete Aktivität ignorieren.
Sie können auch E-Mail-Benachrichtigungen für das Erstellen von Regel-Warnmeldungen einrichten. Weitere Informationen finden Sie unter ThreatSync+ Warnmeldungs- und Benachrichtigungsrichtlinien konfigurieren.
Die Seite ThreatSync+ Regel-Warnmeldungen zeigt die folgenden Details:
- Status — Status der Regel. Der Status kann Live oder Nicht aktiv sein. Wenn Sie auf Live klicken, dann wechselt der Status zu Nicht aktiv und die Regel ist deaktiviert. Wenn Sie auf Nicht aktiv klicken, dann wechselt der Status zu Live und die Regel ist aktiviert.
- Regelname — Name der Regel. Klicken Sie auf den Regelnamen, um die Seite Regel-Warnmeldungsdetails anzuzeigen.
- Tags — Tags, die Sie definieren und anwenden, um Ihre Geräte, Subnetze und Organisationen zu organisieren.
- Bedrohungsbewertung — Bedrohungsbewertung der Regel-Warnmeldung. Die Liste Regel-Warnmeldungen wird standardmäßig nach der höchsten Bedrohungsbewertung sortiert.
- Warnmeldungen — Anzahl der Regel-Warnmeldungen für eine spezifische Regel. Klicken Sie auf die Warnmeldungsanzahl, um die Seite Regel-Warnmeldungsdetails anzuzeigen.
- Wichtigkeit — Von Ihnen zugewiesene Bewertung zur Angabe, wie wertvoll dieses Gerät für Ihre Organisation ist. Die Wichtigkeitsstufe sollte die Auswirkung auf Ihre Organisation widerspiegeln, falls dieses Gerät beschädigt wird oder verloren geht. Dieser Wert wird verwendet, um den Risikograd eines Assets in Verbindung mit der erweiterten Bedrohungserkennung von ThreatSync+ zu berechnen.
- ATT&CK® Referenzen — Zeigt soweit verfügbar einen MITRE ATT&CK-Typ und einen Link.
- Beschreibung — Beschreibung der Regel-Warnmeldung.
So überwachen Sie Regel-Warnmeldungen:
- Wählen Sie Überwachen > ThreatSync+ > Regel-Warnmeldungen.
Die Seite ThreatSync+ Regel-Warnmeldungen wird geöffnet. - So zeigen Sie spezifische Regel-Warnmeldungen an:
- Klicken Sie auf die Regel-Warnmeldung, um spezifische Regel-Warnmeldungen anzuzeigen. Weitere Informationen finden Sie unter Regel-Warnmeldungsdetails anzeigen.
Datumsbereiche ändern
Die Liste der Regel-Warnmeldungen zeigt standardmäßig Regel-Warnmeldungen für die letzten sieben Tage. Sie können das Datum ändern, um Regel-Warnmeldungen für andere Tage zu sehen.
So filtern Sie die Liste der Regel-Warnmeldungen nach Datum:
- Klicken Sie für einen der folgenden Zeiträume auf ein Datum im Datums-Widget:
- 24 Stunden
- 7 Tage
- 30 Tage
- 90 Tage
- Benutzerdefiniert
- Wenn Sie Benutzerdefiniert wählen, müssen Sie eine Start- und Endzeit und ein Start- und Enddatum für den benutzerdefinierten Zeitraum eingeben.
Liste der Regel-Warnmeldungen sortieren und filtern
Die Liste der Regel-Warnmeldungen zeigt standardmäßig Regel-Warnmeldungen nach der höchsten Bedrohungsbewertung in absteigender Reihenfolge sortiert an, damit die kritischsten Regel-Warnmeldungen am Anfang der Liste stehen.
Um Ihre Ansicht der Regel-Warnmeldungen benutzerdefiniert anzupassen, können Sie die Regelliste nach Status-Typen, Tags oder Stichwortsuche filtern.
Um die Liste der Regel-Warnmeldungen zu sortieren, klicken Sie auf eine Spaltenüberschrift, um die Liste der Regel-Warnmeldungen nach dieser Spalte zu sortieren.
So filtern Sie die Liste der Regel-Warnmeldungen:
- Wählen Sie aus der Dropdown-Liste Status-Typen, ob Sie die Liste der Regel-Warnmeldungen nach dem Status Live oder Nicht aktiv oder nach beiden filtern wollen.
- Wählen Sie aus der Dropdown-Liste Tags die Tags aus, die Sie in Ihre gefilterten Ergebnisse einbeziehen wollen.
- Geben Sie in das Textfeld Regel-Warnmeldungen filtern ein Stichwort ein, um Ihre Ergebnisse danach zu filtern.
Regel-Warnmeldungsdetails anzeigen
Um mehr Details über eine spezifische Regel-Warnmeldung anzuzeigen, klicken Sie auf den Regelnamen.
Die Seite Regel-Warnmeldungsdetails beinhaltet die folgenden Details:
- Informationen zu Quell- und Zielzone
- Beschreibung der Regel-Warnmeldung
- Funktionsweise der Regel-Warnmeldung
- Anpassung der Regel-Warnmeldung
- Wichtigkeit
- Bedrohungsbewertung
- Mit der Regel verknüpfte Tags
Sie können die Regel-Konfigurationsdetails in der Dropdown-Liste Regeloptionen verfeinern ändern:
- Aktivitätsauslöser verfeinern
- Quellzonen verfeinern
- Zielzonen verfeinern
Weitere Informationen finden Sie unter ThreatSync+ Regeln konfigurieren.
Drei Registerkarten zeigen detaillierte Informationen zur Regel-Warnmeldung:
- Regeldiagramme — Zeigt Diagramme, die je nach Regel-Warnmeldungstyp variieren. Zu den Details können die Verteilung der Regel-Warnmeldungen nach Quelle, Zeit, Ziel und Anwendungs-Port gehören. Zeigen Sie auf das Diagramm, um Details aufzurufen und Aktionen durchzuführen. Klicken Sie beispielsweise auf Von Regel ausschließen, um ein Gerät von einer Regel auszuschließen, oder klicken Sie auf Datenverkehrsdetails anzeigen, um Informationen über ungewöhnlichen Datenverkehr anzuzeigen.
- Warnmeldungen — Zeigt Details zu Zone und Bedrohungsbewertung für die Regel-Warnmeldung. Sie können die Registerkarte filtern, um Diagramme für Quellzone oder Zielzone anzuzeigen oder die Liste nach Bedrohungsbewertung filtern. Klicken Sie auf den Namen der Quellzone, um Gerätedetails und Aktivität anzuzeigen.
- Kommentare — Zeigt einen Verlauf der mit der Regel-Warnmeldung verknüpften Kommentare. Klicken Sie auf Kommentar, um einer Regel-Warnmeldung einen Kommentar hinzuzufügen.
Regeln deaktivieren
Um eine Regel direkt auf der Seite Regel-Warnmeldungen zu deaktivieren, klicken Sie auf Live neben dem Regelnamen, um den Status auf Nicht aktiv zu ändern.
ThreatSync+ Regeln konfigurieren
Regel-Feinabstimmung (Policy Tuning)
Über ThreatSync+ Regeln und Zonen