Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=cloud-native-security-profile-advanced

Erweiterte Konfiguration von Linux-Laufzeiterkennungsprofilen

Linux-Laufzeiterkennungsprofile verfügen über mehrere Versionen, Regelkategorien und Filteroptionen, mit denen Sie Ihre Profile an Ihre Umgebung anpassen können.

Versionen

Es gibt zwei verschiedene Versionen, die sich in einem Linux-Laufzeiterkennungsprofil ändern können:

  • Profilversion: Profilversionen beginnen mit der ersten Erstellung eines Profils, und jedes Mal, wenn Sie Änderungen vornehmen, wird eine neue Version erstellt. Auf diese Weise können Sie Änderungen und Aktualisierungen des Profils im Zeitverlauf verfolgen.
  • Inhaltsversion: Dies ist die Version des SophosLabs-Standardinhalts, der in einem Profil verwendet wird.

Inhaltsaktualisierungen

Die Inhaltsaktualisierungen des Linux-Laufzeiterkennungsprofils betreffen Sophos Protection for Linux Agents (SPL) und Sophos Linux Sensors (SLS) unterschiedlich:

  • SPL: SPL-Agenten verwenden immer die neueste Version von SophosLabs-Standardinhalten. Wenn SophosLabs eine aktualisierte Version des Standardinhalts veröffentlicht, rufen SPL-Agenten den Inhalt ab und aktualisieren ihre bereits vorhandenen Profile basierend auf der neuen Inhaltsversion. Dies bedeutet, dass Sie Ihre Profile möglicherweise basierend auf Aktualisierungen im SophosLabs-Standardinhalt aktualisieren müssen. Wenn Sie zum Beispiel True für den Filter Geändert in einem Profil auswählen, werden nur Regeln angezeigt, die Sie zuvor bearbeitet haben, damit Sie auf Änderungen prüfen können.
  • SLS: Mit SLS können Sie Profile basierend auf der Version des SophosLabs-Standardinhalts konfigurieren, den Sie für Ihre Sensoren verwenden. SLS muss manuell aktualisiert werden, wenn eine neue Inhaltsversion verfügbar ist.

Regelkategorien

Linux-Laufzeiterkennungsprofile verfügen über zwei Registerkarten für Regeln: Detection Analytics und Smart Policy.

Detection Analytics (Analyse der Erkennung)

Detection Analytics umfasst Erkennungen, die auf einer Systemüberwachung auf untergeordneter Ebene basieren und Anzeichen für böswilliges Verhalten erkennen. SophosLabs unterteilt sie in die folgenden Kategorien:

  • Application Exploitation (Anwendungsausnutzung): Erkennt die Ausnutzung von Anwendungen, die auf dem Host ausgeführt werden, zum Beispiel Speicherbeschädigung oder ungewöhnliches Anwendungsverhalten.
  • System Exploitation (Systemausnutzung): Erkennt die Ausnutzung von Sicherheitslücken auf dem Linux-System, zum Beispiel die Eskalation von Berechtigungen und die Manipulation von Sicherheitsmechanismen.
  • Persistence (Persistenz): Erkennt Ereignisse, die nach dem Neustart des Hosts einen kontinuierlichen Zugriff ermöglichen, zum Beispiel Kernel- oder Userland-Backdoors.

Smart Policy (Intelligente Richtlinie)

Smart Policy umfasst Erkennungen basierend auf Aktivitäten nach einem Ereignis, bei dem ein Prozess bereits eine erste Erkennung ausgelöst hat. Diese Erkennungen helfen dabei, Kontext für zusätzliche Ereignisse bereitzustellen, die schädlich sein können. SophosLabs unterteilt sie in die folgenden Kategorien:

  • File Activity (Dateiaktivität): Änderungen an Systembinärdateien, Konfigurationen und Dateiaktualisierungen.
  • Network Activity (Netzwerkaktivität): Aktivität, die auf laterale Bewegung und Netzwerkdienstverhalten hinweist.
  • Process Activity (Prozessaktivität): Anormale Prozessausführung, Verwendung des Compilers/Debuggers sowie geplante Änderungen und Aktualisierungen von Aufträgen.
  • User Activity Benutzeraktivitäten: Aktualisierung von Berechtigungen und Benutzerkonten.

Details

Für die Regeln auf jeder Registerkarte werden die folgenden Details angezeigt:

  • Regelname: Der Name der Regeln. Klicken Sie auf Regelname oben in der Spalte auf Regelname, um die Regeln alphabetisch zu sortieren.
  • Regelbeschreibung: Das Verhalten, das den Alarm auslöst und warum er als schädlich angesehen werden kann.
  • Geändert: Zeigt an, ob die Regel vom SophosLabs-Standardinhalt geändert wurde.
  • Konfigurierbar: Zeigt an, ob die Regel angepasst werden kann.
  • Kategorie: Die Kategorie der Regel. Siehe Regelkategorien.
  • Aktiviert: Zeigt an, ob die Regel ein- oder ausgeschaltet ist.

Filter

Sie können Filter auf die Liste anwenden, um die Suche nach einzelnen Regeln zu erleichtern. Sie können die Liste nach Kategorie, Aktiviert, Geändert und Konfigurierbar filtern. Um Filter anzuwenden, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf Filter anzeigen.
  2. Erweitern Sie die Kategorien, die Sie filtern möchten.

  3. Wählen Sie die Elemente aus, die in der Regelliste angezeigt werden sollen.

    Tipp

    Sie können mehrere Filter in mehreren Kategorien gleichzeitig anwenden.

  4. Klicken Sie auf Anwenden.

Klicken Sie auf Filter ausblenden, um die Filteroptionen auszublenden.

Um alle angewendeten Filter zu entfernen, klicken Sie auf Alle löschen und dann auf Anwenden.

Hinweis

Wenn Sie auf Filter ausblenden klicken, werden die Filter nicht aus der Regelliste entfernt. Sie müssen die angewendeten Filter manuell löschen.

Regeldetails

Sie können auf eine Regel klicken, um die folgenden Details und Anpassungsoptionen anzuzeigen:

  • Aktiviert: Zeigt an, ob die Regel ein- oder ausgeschaltet ist.
  • Beschreibung: Das Verhalten, das den Alarm auslöst und warum er als schädlich angesehen werden kann.
  • Alarmmeldung: Der Alarm, der beim Auslösen der Regel angezeigt wird.
  • Priorität: Die Schwere des Alarms.
  • MITRE-Angriffstechniken: Die zugehörige MITRE-Technik für die Regel. Wenn Sie auf die Techniknummer klicken, gelangen Sie auf die entsprechende MITRE-Seite, auf der Sie ausführliche Informationen über die Erkennung finden.
  • Ausgabe: Der Inhalt des Feldes „Ausgabe“ innerhalb einer Erkennung.

„Erlauben“- und „Blockieren“-Listen

„Erlauben“- und „Blockieren“-Listen ermöglichen die Auswahl aus den „Erlauben“- und „Blockieren“-Listen, die der Regel zugeordnet sind, aus einem Dropdown-Menü. Mit diesen Listen können Sie einzelne Elemente innerhalb einer Regel entsprechend Ihrer Umgebung ein- oder ausschalten.

Einen Eintrag hinzufügen

Sie können auf Eintrag hinzufügen klicken, um einer Regel ein benutzerdefiniertes Element hinzuzufügen.

Sie können zwischen benutzerdefinierten Elementen und SophosLabs-Standardelementen unterscheiden, indem Sie nach dem Sophos-Schild suchen Sophos-Schild., das nur auf SophosLabs-Standardelementen angezeigt wird.

Klicken Sie auf „Löschen“ Löschen., um ein benutzerdefiniertes Element aus einer „Erlauben“- und „Blockieren“-Liste zu entfernen.