Regole di rilevamento
Le regole di rilevamento consentono di specificare il modo in cui gestiamo i rilevamenti delle minacce.
Per utilizzare questa funzionalità è necessario essere Super Amministratore.
Nota
Attualmente, è possibile utilizzare le regole di rilevamento solo per eliminare i rilevamenti indesiderati.
Eliminazione dei rilevamenti
Potrebbe essere necessario eliminare falsi positivi o rilevamenti che si ripetono troppo frequentemente. Per farlo, è possibile creare delle regole.
Le regole possono impedire ai rilevamenti che trovano corrispondenza con una regola di:
- Essere visualizzati nell’elenco della pagina Rilevamenti.
- Creare casi da sottoporre a ulteriori indagini.
Le regole possono eliminare i casi XDR gestiti dai clienti. Non possono eliminare i casi di MDR.
Creazione di una regola di rilevamento
È possibile creare una regola da un rilevamento esistente, procedendo come segue:
- Selezionare Centro di analisi delle minacce > Rilevamenti.
-
Cliccare sui tre puntini accanto al nome di un rilevamento nell’elenco e selezionare Aggiungi regola di rilevamento.
-
Nelle impostazioni della regola di rilevamento, procedere come segue:
- In Dettagli della regola, inserire il nome e la descrizione della regola. Per impostazione predefinita, la regola è “abilitata”.
-
In Azioni, selezionare l’azione da eseguire sui rilevamenti.
Attualmente, è possibile selezionare solo Elimina. Questo impedisce ai rilevamenti di essere visualizzati nell’elenco dei rilevamenti e di generare casi.
-
In Condizioni vengono visualizzate le caratteristiche della minaccia rilevata, ad esempio la gravità. Selezionare le caratteristiche da utilizzare come condizioni per l’attivazione della regola.
-
Cliccare su Salva.
Per implementare una nuova regola di rilevamento, potrebbero volerci fino a 20 minuti.
Una regola viene applicata solo ai rilevamenti che si verificano dopo la creazione della regola.
Attivazione o disattivazione della regola
Per attivare o disattivare regole, procedere come segue:
- Aprire Centro di analisi delle minacce > Regole di rilevamento.
- Cliccare sul nome di una regola di rilevamento per visualizzarne i dettagli.
-
In Dettagli della regola, cliccare sull’interruttore per attivare o disattivare la regola.
Duplicazione e modifica delle regole di rilevamento
Non è possibile apportare modifiche a una regola esistente.
È possibile duplicare una regola e modificare il duplicato procedendo come segue:
- Aprire Centro di analisi delle minacce > Regole di rilevamento.
- Individuare la regola e cliccare sui tre puntini nella prima colonna a destra.
-
Selezionare Duplica.
Verrà visualizzata una nuova regola con le stesse condizioni e azioni selezionate per la regola originale.
-
Inserire un nome e una descrizione per la nuova regola.
- Selezionare o deselezionare le caselle di controllo accanto alle condizioni per modificare la regola.
- Cliccare su Salva.
Eliminazione delle regole di rilevamento
Per eliminare regole, procedere come segue:
- Aprire Centro di analisi delle minacce > Regole di rilevamento.
- Individuare la regola e cliccare sui tre puntini nella prima colonna a destra.
- Selezionare Elimina.
Visualizzazione dei rilevamenti eliminati
Per impostazione predefinita, i rilevamenti eliminati non vengono visualizzati nella pagina Rilevamenti.
Se si desidera visualizzare i rilevamenti eliminati, procedere come segue: