Über ThreatSync-Automatisierungsregeln

Die ThreatSync-Automatisierungsregeln definieren die von ThreatSync automatisch ergriffenen Maßnahmen bei einer erkannten Bedrohung.

Mithilfe von Automatisierungsregeln können Incident Response Teams automatisch auf bestimmte Arten von Vorfällen reagieren, so dass sie sich auf die wichtigsten Vorfälle konzentrieren können, die eventuell eine manuelle Untersuchung und Problembehebung erfordern. Beispielsweise könnten Sie eine Automatisierungsregel erstellen, mit der bestimmte Arten von Vorfällen mit niedriger Risikobewertung automatisch archiviert werden.

Für nicht von einer Automatisierungsregel abgedeckte Vorfälle können Sie eine manuelle Problembehebung durchführen. Weitere Informationen finden Sie unter Ausführen von Aktionen zur Problembehebung bei Vorfällen.

Weitere Informationen zu Automatisierungsregeln finden Sie in diesen Abschnitten:

Wir empfehlen Ihnen, mit Ausnahme der Regeln in Bewährte Praktiken für ThreatSync, solange keine Automatisierungsregeln hinzuzufügen, bis Sie mit den verschiedenen Vorfallstypen vertraut sind, die in Ihrer Umgebung auftreten können, und mit den Problembehebungsaktionen, die Sie ausführen können.

Typen von Automatisierungsregeln in ThreatSync

In ThreatSync können Sie zwei Typen von Automatisierungsregeln konfigurieren:

Remediation-Regel (Problembehebung)

Eine Remediation-Automatisierungsregel führt die vorgegebenen Problembehebungsaktionen für Vorfälle durch, die die Bedingungen dieser Regel erfüllen.

Archive-Regel (Archiv)

Eine Archive-Automatisierungsregel ändert den Status von Vorfällen, die die Bedingungen der Regel für eine Archivierung erfüllen.

Bedingungen und Aktionen von ThreatSync Automatisierungsregeln

Sie konfigurieren für jede ThreatSync-Automatisierungsregel Bedingungen und Aktionen.

Bedingungen

Mit Bedingungen wird festgelegt, wann ThreatSync eine Regel ausführt. Wenn ein Vorfall den Bedingungen einer Regel entspricht, führt ThreatSync die vorgegebenen Aktionen aus.

Sie können für jede Regel die folgenden Bedingungen vorgeben.

  • Risikobereich — Geben Sie einen Bereich von Risikograden für Vorfälle vor. Weitere Informationen finden Sie unter ThreatSync Risikograde und -bewertungen bei Vorfällen.
  • Vorfallstyp — Wählen Sie einen oder mehrere Vorfallstypen.
  • Gerätetyp — Wählen Sie Firebox oder Endpoint.
  • Durchgeführte Aktionen — Wählen Sie eine oder mehrere dieser bei einem Vorfall durchgeführten Aktionen (nur Archive-Regel).

Die Bedingung Durchgeführte Aktionen ist nur für den Regeltyp Archive verfügbar. Bei Remediation-Regeln werden die Problembehebungsaktionen in einem gesonderten Abschnitt ausgewählt.

Aktionen

Mit Aktionen wird festgelegt, was ThreatSync beim Ausführen der Regel tut.

Sie müssen für jede Regel angeben, ob die Regel Aktionen ausführt oder verhindert.

  • Perform (Ausführen) — ThreatSync führt die vorgegebenen Aktionen für neue Vorfälle aus, die den Regelbedingungen entsprechen.
  • Prevent (Verhindern) — ThreatSync verhindert die vorgegebenen Aktionen. Um eine Ausnahme für eine umfassendere Perform-Regel zu erstellen, können Sie eine Regel mit der Prevent-Aktion hinzufügen und höher einstufen, als die andere Regel in der Regelliste. Eine Regel mit der Aktion Prevent verhindert die manuelle Ausführung einer Aktion durch einen Operator nicht.

Für eine Remediation-Regel wählen Sie eine oder mehrere der folgenden Problembehebungsaktionen, die ausgeführt werden sollen:

  • Ursprungs-IP der Bedrohung blockieren (nur externe IPs) — Blockiert die mit dem Vorfall verknüpfte externe IP-Adresse. Wenn Sie diese Aktion auswählen, blockieren alle Fireboxen, bei denen ThreatSync im WatchGuard Cloud-Konto aktiviert ist, die Verbindungen zu und von der IP-Adresse.
  • Datei löschen — Löscht die gekennzeichnete Datei, die mit dem Vorfall verknüpft ist.
  • Gerät isolieren — Isoliert den Computer vom Netzwerk, um die Verbreitung der Bedrohung zu verhindern und die Exfiltration von vertraulichen Informationen zu blockieren.
  • Böswilligen Prozess abbrechen — Beendet einen Prozess, der mit dem Vorfall verknüpftes bösartiges Verhalten gezeigt hat.

Für eine Archive-Regel gibt es nur eine Aktion:

  • Archive (Archivieren) — Ändert den Status des Vorfalls zu Archived (Archiviert). Diese Aktion ist automatisch ausgewählt und kann von Ihnen nicht geändert werden.

Reihenfolge der Automatisierungsregeln in ThreatSync

Sie ordnen ThreatSync-Regeln nach der relativen Priorität von oben nach unten. Falls ein Vorfall die konfigurierten Bedingungen mehrerer Regeln erfüllt, führt ThreatSync die Aktion aus, die in der entsprechenden Regel mit dem höchsten Rang vorgegeben ist.

Screen shot of the Automation Policies page in ThreatSync

Jede empfohlene Aktion bei einem Vorfall wird einzeln mit einer Regel abgeglichen. Wenn ein Vorfall keine empfohlene Aktion hat, die einer in der Regel vorgegebenen Aktion entspricht, wird diese Regel übersprungen.

Mittels einer Vorlage zugewiesene Automatisierungsregeln werden auf der Regelliste im Subscriber-Konto ganz oben angezeigt. Die Reihenfolge Ihrer Automatisierungsregeln und Vorlagen ändern Sie unter Verwalten von ThreatSync-Automatisierungsregeln (Subscriber).

In diesem Beispiel haben Sie zwei Automatisierungsregeln mit folgenden Bedingungen:

Automatisierungsregel 1

  • Rang — 1
  • Regeltyp — Remediation (Problembehebung)
  • Risikobereich — 8 bis 10
  • Gerätetyp — Endpoint, Firebox
  • Aktionen — Perform > Böswilligen Prozess abbrechen

Automatisierungsregel 2

  • Rang — 2
  • Regeltyp — Remediation (Problembehebung)
  • Risikobereich — 8 bis 10
  • Gerätetyp — Endpoint, Firebox
  • Aktionen — Perform > Gerät isolieren, Böswilligen Prozess abbrechen

Es tritt ein Vorfall mit den folgenden Details auf:

  • Typ — IOA
  • Risikograd — 8
  • Gerätetyp — Endpoint
  • Empfohlene Aktionen — Perform > Gerät isolieren, Böswilligen Prozess abbrechen, Datei löschen

In diesem Beispiel:

  • Automatisierungsregel 2 ist die Regel mit dem höchsten Rang, die durch die empfohlene Aktion Gerät isolieren auf den Vorfall anwendbar ist.
  • Automatisierungsregel 1 ist die Regel mit dem höchsten Rang, die durch die empfohlene Aktion Böswilligen Prozess abbrechen auf den Vorfall anwendbar ist.
  • Auf den Vorfall ist keine Automatisierungsregel für die empfohlene Aktion Datei löschen anwendbar.

Ergebnis:

  • ThreatSync isoliert das Gerät und bricht den böswilligen Prozess automatisch ab, ohne die Datei zu löschen.

Vorlagen für Automatisierungsregeln in ThreatSync

Sie können Automatisierungsregeln auf der Ebene Subscriber-Konto erstellen. Das Verfahren für das Hinzufügen einer Automatisierungsregel für ein Subscriber-Konto finden Sie unter Verwalten von ThreatSync-Automatisierungsregeln (Subscriber).

Service-Provider können darüber hinaus Vorlagen für Automatisierungsregeln erstellen, die mehrere Automatisierungsregeln enthalten, und die Vorlagen dann den von ihnen verwalteten Konten oder Kontogruppen zuweisen. So können Service-Provider Automatisierungsregeln einheitlich auf verwaltete Konten und Kontogruppen anwenden und so bei der Einrichtung von ThreatSync für neue Konten Zeit sparen.

Das Verfahren für die Einrichtung von Vorlagen für Automatisierungsregeln für Ihre verwalteten Konten oder Kontengruppen finden Sie unter ThreatSync-Vorlagen für Automatisierungsregel verwalten (Service-Provider).

Related Topics

Verwalten von ThreatSync-Automatisierungsregeln (Subscriber)

ThreatSync-Vorlagen für Automatisierungsregel verwalten (Service-Provider)

ThreatSync-Geräteeinstellungen konfigurieren

Von ThreatSync blockierte IP-Adressen verwalten

Konfigurieren von ThreatSync

Über ThreatSync