Erkennungsregeln
Mit den Erkennungsregeln können Sie festlegen, wie wir mit der Erkennung von Bedrohungen umgehen.
Sie müssen Superadmin sein, um diese Funktion verwenden zu können.
Hinweis
Derzeit können Sie nur Erkennungsregeln verwenden, um unerwünschte Erkennungen zu unterdrücken.
Erkennungen unterdrücken
Möglicherweise müssen Sie Erkennungen unterdrücken, wenn es sich um False Positives handelt oder Erkennungen zu häufig wiederholt werden. Sie können hierzu Regeln erstellen.
Regeln können verhindern, dass bei Erkennungen, die mit einer Regel übereinstimmen, Folgendes erfolgt:
- Anzeige der Erkennungen in der Liste auf der Seite Erkennungen.
- Anlegen von Fällen zur weiteren Analyse.
Regeln können von Kunden verwaltete XDR-Fälle unterdrücken. MDR-Fälle können sie jedoch nicht unterdrücken.
Erkennungsregel erstellen
Sie können eine Regel aus einer vorhandenen Erkennung wie folgt erstellen:
- Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.
-
Klicken Sie in der Liste auf die drei Punkte neben einem Erkennungsnamen und wählen Sie Erkennungsregel hinzufügen aus.
-
Gehen Sie in den Einstellungen der Erkennungsregel wie folgt vor:
- Geben Sie unter Regeldetails einen Regelnamen und eine Beschreibung ein. Die Firewall ist standardmäßig „aktiviert“.
-
Wählen Sie unter Aktionen die Aktion aus, die Sie bei der Erkennung ausführen möchten.
Derzeit können Sie nur Unterdrücken auswählen. Dadurch wird verhindert, dass Erkennungen in der Erkennungsliste angezeigt werden und Fälle generiert werden.
-
Unter Bedingungen werden die Merkmale der erkannten Bedrohung, zum Beispiel der Schweregrad, angezeigt. Wählen Sie Merkmale aus, die Sie als Bedingungen zum Auslösen der Regel verwenden möchten.
-
Klicken Sie auf Speichern.
Es kann 20 Minuten dauern, bis eine neue Erkennungsregel wirksam wird.
Eine Regel gilt nur für Erkennungen, die nach dem Erstellen der Regel auftreten.
Erkennungsregeln aktivieren bzw. deaktivieren
Gehen Sie wie folgt vor, um Erkennungsregeln zu aktivieren bzw. zu deaktivieren:
- Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
- Klicken Sie auf den Namen einer Erkennungsregel, um deren Details anzuzeigen.
-
Klicken Sie unter Regeldetails auf den Umschalter, um die Regel ein- oder auszuschalten.
Erkennungsregeln duplizieren und bearbeiten
Sie können keine Änderungen an einer vorhandenen Regel vornehmen.
Sie können eine Regel wie folgt duplizieren und Änderungen am Duplikat vornehmen:
- Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
- Suchen Sie die Regel und klicken Sie auf die drei Punkte in der Spalte ganz rechts.
-
Wählen Sie Duplizieren.
Es wird eine neue Regel mit denselben Bedingungen und Aktionen angezeigt, die Sie für die ursprüngliche Regel ausgewählt haben.
-
Geben Sie einen Namen und eine Beschreibung für die neue Regel ein.
- Aktivieren oder deaktivieren Sie Kontrollkästchen neben den Bedingungen, um die Regel zu bearbeiten.
- Klicken Sie auf Speichern.
Erkennungsregeln löschen
Um Regeln zu löschen, gehen Sie wie folgt vor:
- Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
- Suchen Sie die Regel und klicken Sie auf die drei Punkte in der Spalte ganz rechts.
- Wählen Sie Löschen aus.
Unterdrückte Erkennungen anzeigen
Standardmäßig werden von Ihnen unterdrückte Erkennungen nicht auf der Seite Erkennungen angezeigt.
Wenn Sie unterdrückte Erkennungen anzeigen möchten, verfahren Sie wie folgt: