Zum Inhalt

Erkennungsregeln

Mit den Erkennungsregeln können Sie festlegen, wie wir mit der Erkennung von Bedrohungen umgehen.

Sie müssen Superadmin sein, um diese Funktion verwenden zu können.

Hinweis

Derzeit können Sie nur Erkennungsregeln verwenden, um unerwünschte Erkennungen zu unterdrücken.

Erkennungen unterdrücken

Möglicherweise müssen Sie Erkennungen unterdrücken, wenn es sich um False Positives handelt oder Erkennungen zu häufig wiederholt werden. Sie können hierzu Regeln erstellen.

Regeln können verhindern, dass bei Erkennungen, die mit einer Regel übereinstimmen, Folgendes erfolgt:

  • Anzeige der Erkennungen in der Liste auf der Seite Erkennungen.
  • Anlegen von Fällen zur weiteren Analyse.

Regeln können von Kunden verwaltete XDR-Fälle unterdrücken. MDR-Fälle können sie jedoch nicht unterdrücken.

Erkennungsregel erstellen

Sie können eine Regel aus einer vorhandenen Erkennung wie folgt erstellen:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.
  2. Klicken Sie in der Liste auf die drei Punkte neben einem Erkennungsnamen Symbol mit drei Punkten. und wählen Sie Erkennungsregel hinzufügen aus.

    Menü „Mehr“ mit der Option „Erkennungsregel hinzufügen“.

  3. Gehen Sie in den Einstellungen der Erkennungsregel wie folgt vor:

    1. Geben Sie unter Regeldetails einen Regelnamen und eine Beschreibung ein. Die Firewall ist standardmäßig „aktiviert“.
    2. Wählen Sie unter Aktionen die Aktion aus, die Sie bei der Erkennung ausführen möchten.

      Derzeit können Sie nur Unterdrücken auswählen. Dadurch wird verhindert, dass Erkennungen in der Erkennungsliste angezeigt werden und Fälle generiert werden.

    Details zu Erkennungsregeln und Aktionen.

  4. Unter Bedingungen werden die Merkmale der erkannten Bedrohung, zum Beispiel der Schweregrad, angezeigt. Wählen Sie Merkmale aus, die Sie als Bedingungen zum Auslösen der Regel verwenden möchten.

    Bedingungen, die eine Regel auslösen können.

  5. Klicken Sie auf Speichern.

Es kann 20 Minuten dauern, bis eine neue Erkennungsregel wirksam wird.

Eine Regel gilt nur für Erkennungen, die nach dem Erstellen der Regel auftreten.

Erkennungsregeln aktivieren bzw. deaktivieren

Gehen Sie wie folgt vor, um Erkennungsregeln zu aktivieren bzw. zu deaktivieren:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
  2. Klicken Sie auf den Namen einer Erkennungsregel, um deren Details anzuzeigen.
  3. Klicken Sie unter Regeldetails auf den Umschalter, um die Regel ein- oder auszuschalten.

    Erkennungsregel aktiviert.

Erkennungsregeln duplizieren und bearbeiten

Sie können keine Änderungen an einer vorhandenen Regel vornehmen.

Sie können eine Regel wie folgt duplizieren und Änderungen am Duplikat vornehmen:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
  2. Suchen Sie die Regel und klicken Sie auf die drei Punkte Symbol mit drei Punkten. in der Spalte ganz rechts.
  3. Wählen Sie Duplizieren.

    Es wird eine neue Regel mit denselben Bedingungen und Aktionen angezeigt, die Sie für die ursprüngliche Regel ausgewählt haben.

  4. Geben Sie einen Namen und eine Beschreibung für die neue Regel ein.

  5. Aktivieren oder deaktivieren Sie Kontrollkästchen neben den Bedingungen, um die Regel zu bearbeiten.
  6. Klicken Sie auf Speichern.

Erkennungsregeln löschen

Um Regeln zu löschen, gehen Sie wie folgt vor:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungsregeln.
  2. Suchen Sie die Regel und klicken Sie auf die drei Punkte Symbol mit drei Punkten. in der Spalte ganz rechts.
  3. Wählen Sie Löschen aus.

Unterdrückte Erkennungen anzeigen

Standardmäßig werden von Ihnen unterdrückte Erkennungen nicht auf der Seite Erkennungen angezeigt.

Wenn Sie unterdrückte Erkennungen anzeigen möchten, verfahren Sie wie folgt:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Erkennungen.
  2. Klicken Sie über der Erkennungsliste auf Filter anzeigen.
  3. Deaktivieren Sie unter Erkennungs-Sichtbarkeit das Kontrollkästchen Unterdrückte Erkennungen ausblenden.

    Filter „Unterdrückte Erkennungen ausblenden“.

  4. Klicken Sie auf Übernehmen.