Vai al contenuto

Regole di rilevamento

Le regole di rilevamento consentono di specificare il modo in cui gestiamo i rilevamenti delle minacce.

Per utilizzare questa funzionalità è necessario essere Super Amministratore.

Nota

Attualmente, è possibile utilizzare le regole di rilevamento solo per eliminare i rilevamenti indesiderati.

Eliminazione dei rilevamenti

Potrebbe essere necessario eliminare falsi positivi o rilevamenti che si ripetono troppo frequentemente. Per farlo, è possibile creare delle regole.

Le regole possono impedire ai rilevamenti che trovano corrispondenza con una regola di:

  • Essere visualizzati nell’elenco della pagina Rilevamenti.
  • Creare casi da sottoporre a ulteriori indagini.

Le regole possono eliminare i casi XDR gestiti dai clienti. Non possono eliminare i casi di MDR.

Creazione di una regola di rilevamento

È possibile creare una regola da un rilevamento esistente, procedendo come segue:

  1. Selezionare Centro di analisi delle minacce > Rilevamenti.
  2. Cliccare sui tre puntini Icona con i tre puntini. accanto al nome di un rilevamento nell’elenco e selezionare Aggiungi regola di rilevamento.

    Menu Altro che mostra “Aggiungi regola di rilevamento”.

  3. Nelle impostazioni della regola di rilevamento, procedere come segue:

    1. In Dettagli della regola, inserire il nome e la descrizione della regola. Per impostazione predefinita, la regola è “abilitata”.
    2. In Azioni, selezionare l’azione da eseguire sui rilevamenti.

      Attualmente, è possibile selezionare solo Elimina. Questo impedisce ai rilevamenti di essere visualizzati nell’elenco dei rilevamenti e di generare casi.

    Dettagli e azioni della regola di rilevamento.

  4. In Condizioni vengono visualizzate le caratteristiche della minaccia rilevata, ad esempio la gravità. Selezionare le caratteristiche da utilizzare come condizioni per l’attivazione della regola.

    Condizioni che possono attivare una regola.

  5. Cliccare su Salva.

Per implementare una nuova regola di rilevamento, potrebbero volerci fino a 20 minuti.

Una regola viene applicata solo ai rilevamenti che si verificano dopo la creazione della regola.

Attivazione o disattivazione della regola

Per attivare o disattivare regole, procedere come segue:

  1. Aprire Centro di analisi delle minacce > Regole di rilevamento.
  2. Cliccare sul nome di una regola di rilevamento per visualizzarne i dettagli.
  3. In Dettagli della regola, cliccare sull’interruttore per attivare o disattivare la regola.

    Regola di rilevamento attivata.

Duplicazione e modifica delle regole di rilevamento

Non è possibile apportare modifiche a una regola esistente.

È possibile duplicare una regola e modificare il duplicato procedendo come segue:

  1. Aprire Centro di analisi delle minacce > Regole di rilevamento.
  2. Individuare la regola e cliccare sui tre puntini Icona con i tre puntini. nella prima colonna a destra.
  3. Selezionare Duplica.

    Verrà visualizzata una nuova regola con le stesse condizioni e azioni selezionate per la regola originale.

  4. Inserire un nome e una descrizione per la nuova regola.

  5. Selezionare o deselezionare le caselle di controllo accanto alle condizioni per modificare la regola.
  6. Cliccare su Salva.

Eliminazione delle regole di rilevamento

Per eliminare regole, procedere come segue:

  1. Aprire Centro di analisi delle minacce > Regole di rilevamento.
  2. Individuare la regola e cliccare sui tre puntini Icona con i tre puntini. nella prima colonna a destra.
  3. Selezionare Elimina.

Visualizzazione dei rilevamenti eliminati

Per impostazione predefinita, i rilevamenti eliminati non vengono visualizzati nella pagina Rilevamenti.

Se si desidera visualizzare i rilevamenti eliminati, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Rilevamenti.
  2. Cliccare su Mostra filtri sopra l’elenco dei rilevamenti.
  3. Sotto Visibilità sui rilevamenti, deselezionare la casella di controllo Nascondi rilevamenti eliminati.

    Filtro “Nascondi rilevamenti eliminati”.

  4. Cliccare su *Appl*ica.