Fügen Sie benutzerdefinierte Erkennungssignale hinzu, die einzigartig und kritisch für Ihre Umgebung sind.

Prozedur

  1. Klicken Sie auf der Registerkarte Erkennungssignale auf Signal hinzufügen.
  2. Geben Sie einen Namen für das Signal an und optional eine Beschreibung im Grundlegende Eigenschaften-Bereich. Der Name kann helfen, klar zu identifizieren, welche Signale von normalen Verhaltensweisen abweichen, die Sie erkennen möchten.
  3. Im Bereich Signaldefinition definieren Sie das Signal.
    1. Wählen Sie in der Dropdown-Liste ein Bedingungsfeld aus.
    2. Wählen Sie den gewünschten Operator aus der Dropdown-Liste aus.
      Verfügbare Operatoren umfassen sowohl Vergleichsoperatoren für Ganzzahlen als auch Übereinstimmungsoperatoren für Zeichenfolgen. Zum Beispiel bedeutet , dass das Bedingungsfeld eine Ganzzahl enthält, die kleiner oder gleich dem angegebenen Ganzzahlwert ist.
    3. Geben Sie den gewünschten Wert als Zeichenfolge oder Ganzzahl ein oder wählen Sie ihn aus, falls erforderlich.
      In der folgenden Tabelle werden die unterstützten Bedingungen beschrieben
      Bedingungsfeld
      Operator
      Beschreibung
      Absenderdomänenaktivität in den letzten 30 Tagen
      Die Domain des Absenders im Von-Header-Feld einer E-Mail hat in den letzten 30 Tagen für weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 5. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Festlegen des Werts auf 0, dass die Absenderdomain in den letzten 30 Tagen keine Aktivität gezeigt hat.
      Absenderadressenaktivität in den letzten 30 Tagen
      Die Adresse des Absenders im Von-Header-Feld einer E-Mail hat in den letzten 30 Tagen für weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 5. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Setzen des Wertes auf 0, dass die Absenderadresse in den letzten 30 Tagen keine Aktivität gezeigt hat.
      Alter der Registrierung der Absenderdomain
      Die Domain des Absenders im Von-Header-Feld einer E-Mail wurde für weniger als oder gleich der angegebenen Anzahl von Tagen registriert.
      Standardwert: 7. Bereich: 1 - 366. Einheit: Tage.
      Zum Beispiel bedeutet das Festlegen des Werts auf 1, dass die Absenderdomain innerhalb der letzten 24 Stunden registriert wurde.
      E-Mail-Richtung des Datenverkehrs
      • Ist
      • Ist Nicht
      Der E-Mail-Verkehr zur Erkennung von Anomalien umfasst eingehende E-Mails, ausgehende E-Mails oder interne E-Mails.
      Das Festlegen der Bedingung Email traffic direction Is Incoming bedeutet, dass die E-Mails von externen Absendern außerhalb Ihrer Organisation stammen.
      Das Festlegen der Bedingung Email traffic direction Is Sent bedeutet, dass die E-Mails an externe Benutzer außerhalb Ihrer Organisation oder an interne Benutzer innerhalb Ihrer Organisation gesendet werden.
      Das Festlegen der Bedingung Email traffic direction Is Not Sent bedeutet, dass die E-Mails von externen Absendern außerhalb Ihrer Organisation oder internen Absendern innerhalb Ihrer Organisation stammen.
      Antwort-Domain-Aktivität in den letzten 30 Tagen
      Die Domain des Empfängers im Reply-To-Header-Feld einer E-Mail hat in den letzten 30 Tagen für weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 5. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Festlegen des Werts auf 0, dass die Reply-To-Domain in den letzten 30 Tagen keine Aktivität gezeigt hat.
      Antwortadresse-Aktivität in den letzten 30 Tagen
      Die Adresse des Empfängers im Reply-To-Header-Feld einer E-Mail hat in den letzten 30 Tagen für weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 5. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Festlegen des Werts auf 0, dass die Reply-To-Adresse in den letzten 30 Tagen keine Aktivität gezeigt hat.
      URL-Domain-Registrierungsalter in E-Mail
      Die Domain einer beliebigen URL in einer E-Mail wurde für weniger als oder gleich der angegebenen Anzahl von Tagen registriert.
      Standardwert: 30. Bereich: 1 - 366. Einheit: Tage.
      Zum Beispiel bedeutet das Festlegen des Werts auf 1, dass die Domain von mindestens einer URL in einer E-Mail innerhalb der letzten 24 Stunden registriert wurde.
      Absenderadresse
      • Ist in
      • Ist nicht in
      Die Absenderadresse einer E-Mail befindet sich in der angegebenen E-Mail-Adressliste oder nicht.
      Maximal 50 E-Mail-Adressen werden unterstützt.
      Das Sternchen (*) Platzhalter wird unterstützt, um null oder mehr Zeichen im lokalen Teil und der Domain einer E-Mail-Adresse darzustellen, zum Beispiel, *@example.com, name@*.com und *@*.example.com
      Aktivität der Absenderdomänen nach Unternehmen in den letzten 30 Tagen
      Hinweis
      Hinweis
      Diese Bedingung ist nicht in allen Regionen verfügbar.
      Der Domain des Absenders im Von-Headerfeld einer E-Mail hat in den letzten 30 Tagen auf Unternehmensbasis weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 3. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Setzen des Wertes auf 0, dass die Absenderdomäne in den letzten 30 Tagen keine Aktivität gezeigt hat.
      Aktivität der Absenderadresse nach Unternehmen in den letzten 30 Tagen
      Hinweis
      Hinweis
      Diese Bedingung ist nicht in allen Regionen verfügbar.
      Die Absenderadresse im Von-Headerfeld einer E-Mail hat in den letzten 30 Tagen auf Unternehmensbasis weniger als oder gleich der angegebenen Anzahl von Tagen Aktivität gezeigt.
      Standardwert: 3. Bereich: 0 - 30. Einheit: Tage.
      Zum Beispiel bedeutet das Setzen des Wertes auf 0, dass die Absenderadresse in den letzten 30 Tagen keine Aktivität gezeigt hat.
    Hinweis
    Hinweis
    Derzeit können Sie nur eine Bedingung in der Signaldefinition konfigurieren.
  4. Überprüfen und bestätigen Sie, dass die Signaldefinition Ihren Anforderungen entspricht.
  5. Klicken Sie auf Save.