Ansichten:

Erkennen Sie Sicherheitsrisiken und identifizieren Sie Anomalien, indem Sie Signale aus verschiedenen Quellen korrelieren und die von Agentic KI unterstützte Erkennung nutzen.

Correlated Intelligence wurde entwickelt, um Ihnen erweiterte Erkennungsfunktionen zu bieten, indem es verdächtige Signale aus verschiedenen Quellen korreliert, um Sicherheitsrisiken und Anomalien zu erkennen.
Hinweis
Hinweis
  • Correlated Intelligence ist für Exchange Online, Exchange Online (Inlinemodus), Gmail und Gmail (Inlinemodus) verfügbar.
  • Derzeit sammelt Correlated Intelligence Signale von Advanced Spam Protection, Malware-Scanning und Web Reputation.
Ein wesentlicher Vorteil von Correlated Intelligence ist die Fähigkeit, Signale aus mehreren Quellen zu erkennen und zu analysieren, um Sicherheitsrisiken zu identifizieren, die von einem einzelnen Sicherheitsfilter möglicherweise nicht erkannt werden. Dieser Multi-Source-Ansatz bietet eine zusätzliche Schutzebene zur Erkennung potenzieller Bedrohungen.
Ein weiteres Highlight von Correlated Intelligence ist die Möglichkeit, Sie auf Anomalien aufmerksam zu machen. Dabei werden ein oder mehrere Signale angezeigt, die vom normalen Verhalten abweichen. Anomalien müssen nicht unbedingt auf ein Sicherheitsrisiko hinweisen, sind aber ungewöhnlich genug, um Aufmerksamkeit zu verdienen. Mit dieser Funktion erhalten Sie einen umfassenderen Überblick über Ihre Sicherheitslandschaft.
Korrelation von Intelligenz funktioniert, indem zunächst Signale von verschiedenen Sicherheitsfiltern gesammelt und dann die Signale mit den vordefinierten oder benutzerdefinierten Regeln abgeglichen werden. Ziel dieses Prozesses ist es, Übereinstimmungen zu identifizieren, die auf ein Sicherheitsrisiko oder eine Anomalie hinweisen könnten, und so eine gründlichere und nuanciertere Analyse potenzieller Sicherheitsbedrohungen zu ermöglichen.
Die agentengesteuerte KI-gestützte Erkennung fügt der korrelierten Intelligenz eine weitere Intelligenzschicht hinzu. Sie verwendet Korrelationsregeln zusammen mit KI-gesteuerter Analyse, um Sicherheitsrisiken, einschließlich Phishing und Spam, effektiver zu erkennen.
Hinweis
Hinweis
  • Agentic KI-gestützte Erkennung befindet sich in der privaten Vorschau. Wenn Sie auf diese Funktion zugreifen möchten, bevor sie in die öffentliche Vorschau geht oder offiziell veröffentlicht wird, wenden Sie sich an Ihren Vertriebsmitarbeiter.
  • Diese Funktion ist erst verfügbar, nachdem Ihr Cloud-App-Sicherheit auf Cloud-E-Mail- und Kollaborationsschutz in Trend Vision One aktualisiert wurde.
  • Derzeit ist diese Funktion nur für Exchange Online verfügbar.
Cloud-App-Sicherheit wird mit einer Reihe von vordefinierten Korrelationsregeln und Erkennungssignalen geliefert, um von Trend Micro spezifizierte Sicherheitsrisiken und Anomalien zu erkennen. Sie können auch benutzerdefinierte Erkennungssignale definieren, die einzigartig und kritisch für Ihre Umgebung sind, und diese dann in benutzerdefinierte Korrelationsregeln einbinden. Dies bietet Ihnen die Flexibilität, Correlated Intelligence-Richtlinien zu konfigurieren, die Ihren tatsächlichen Bedürfnissen entsprechen.
Zugehörige Informationen

Konfigurieren von korrelierter Intelligenz

Aktivieren Sie die Erkennung von Sicherheitsrisiken und Anomalien durch die Korrelation von Signalen aus verschiedenen Quellen und geben Sie die Aktion an, die bei jeder Übereinstimmung angewendet werden soll.

Prozedur

  1. Wählen Sie Korrelierte Intelligenzaus.
  2. Wählen Sie Mit agentischer KI-Erkennung verbessern.
    Diese Option aktiviert das Agentic KI-gestützte Erkennungsmodell in Correlated Intelligence, um Spam und mehr Phishing-E-Mails zu erkennen.
    Hinweis
    Hinweis
    Derzeit gilt die Agentic KI-gestützte Erkennung nur für Sicherheitsrisiken.
  3. Einstellungen auf der Sicherheitsrisiken-Registerkarte konfigurieren.
    Sicherheitsrisiken sind hochvertrauenswürdige Erkennungen durch korrelierte Intelligenz. Hierbei handelt es sich in der Regel um ausgeklügelte Angriffe, die mit einer einzigen Schutzschicht nur schwer zu erkennen sind. Correlated Intelligence kombiniert Signale aus verschiedenen Quellen und nutzt ein agentisches, KI-gestütztes Erkennungsmodul (falls aktiviert), um fortgeschrittene Angriffe zu identifizieren, die darauf abzielen, traditionelle, schichtweise aufgebaute Verteidigungsmaßnahmen zu umgehen.
    1. Konfigurieren Sie die Einstellungen für die Aktion für jeden Sicherheitstyp.
      Sie können mit den Standardeinstellungen arbeiten oder die Einstellungen an Ihre Anforderungen anpassen.
      Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
    2. Benachrichtigung aktivieren fürCloud-App-Sicherheit um bei Erkennung eines Sicherheitsrisikos Benachrichtigungs-E-Mails zu senden.
    3. (Nur Exchange Online) Aktivieren Sie Warnhinweis-Banner, um eine Warnmeldung am Anfang des E-Mail-Textes anzuzeigen, wenn Endbenutzer eine E-Mail erhalten, die durch vordefinierte Korrelationsregeln oder Agentic KI als Phishing oder Spam markiert wurde.
      Das Banner erklärt den Grund für die Warnung und rät den Endbenutzern, Vorsicht walten zu lassen, wenn sie mit der E-Mail interagieren. Klicken Sie auf Vorschau, um zu sehen, wie das Warnbanner in den Postfächern der Endbenutzer erscheinen wird.
      Nach der Konfiguration kann Cloud-App-Sicherheit die Optionen im Warnbanner aktivieren, damit Endbenutzer E-Mails als Spam, Phishing, erwünscht oder nicht als Risiko für Trend Micro oder angegebene Administratoren melden können. Dies dient als eine weitere Methode, zusätzlich zum Add-in für Outlook, um die Bedrohungserkennung zu verbessern, indem Endbenutzer E-Mails melden können. Beim Empfang einer gemeldeten E-Mail kann Cloud-App-Sicherheit eine Bestätigungs-E-Mail an den Endbenutzer senden.
      Sie können Endbenutzer auch über potenzielle Risiken informieren, ohne die Berichtsfunktionen zu aktivieren. Um diese Aktionen zu deaktivieren, deaktivieren Sie Bericht an Trend Micro senden und Bericht an Administratoren senden in AdministrationE-Mail-Berichte. Weitere Informationen finden Sie unter Berichte von E-Mail-Berichte.
      Für die Anzeige von E-Mails, die von Endbenutzern gemeldet wurden, navigieren Sie zu AktionenVom Benutzer gemeldete E-Mails. Einzelheiten dazu finden Sie unter Von Benutzern gemeldete E-Mails.
  4. Einstellungen auf der Anomalien-Registerkarte konfigurieren.
    1. Bestimmen Sie, ob alle oder teilweise vordefinierte Korrelationsregeln durchgesetzt werden sollen, um Anomalien zu erkennen.
      • All pre-defined rules
        Diese Option wird automatisch ausgewählt, wenn Sie den Korrelierte Intelligenz-Schalter aktivieren.
        Trend Micro klassifiziert seine vordefinierten Korrelationsregeln zur Anomalieerkennung in drei Aggressivitätsstufen: Mäßig, Aggressiv und Extra aggressive. Einzelheiten zu diesen Regeln und den Szenarien, für die die Regeln jeder Aggressivitätsstufe geeignet sind, finden Sie unter Anzeigen von Korrelationsregeln und Erkennungssignalen.
        Durch die Auswahl von Alle vordefinierten Regeln werden alle bestehenden und zukünftigen vordefinierten Korrelationsregeln erzwungen, um Anomalien automatisch zu erkennen.
        1. Klicken Sie auf die Ziffer neben jeder aggressiven Stufe, um die zugehörigen vordefinierten Regeln anzuzeigen.
        2. Wählen Sie eine Aktion zur Anomalieerkennung für jede Bedrohungsart unter jedem Aggressivitätsgrad aus.
          Wenn Sie die Regeln eines bestimmten aggressiven Niveaus für eine bestimmte Bedrohungsart nicht durchsetzen möchten, wählen Sie Übergehen ohne Protokollierung als Aktion.
          Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
        3. Wenn Sie bestimmte vordefinierte Regeln während der Anomalieerkennung ausschließen möchten, wählen Sie die Regeln im Bereich Ausnahmen aus.
      • Specified pre-defined rules
        Wählen Sie eine oder mehrere Regeln aus und wählen Sie dann eine Aktion für jede Regel.
      Wichtig
      Wichtig
      Anomalieerkennung durch Korrelationsregeln der Correlated Intelligence weist möglicherweise nicht immer auf bösartige Aktivitäten hin; sie stimmen mit bestimmten verdächtigen Signalen überein und können in ihrer Wirksamkeit und Erwartung variieren. Wir empfehlen, zunächst Aktionen auf Betreff mit einem Tag versehen, Haftungsausschluss hinzufügen oder E-Mail bezeichnen einzustellen, um Ergebnisse zu überwachen, bevor stärkere Maßnahmen angewendet werden. Sie können auch benutzerdefinierte Korrelationsregeln erstellen und diese im Abschnitt Benutzerdefinierte Correlated Intelligence hinzufügen, um besser zu Ihrer Umgebung zu passen.
    2. Benachrichtigung aktivieren fürCloud-App-Sicherheit um bei Erkennung einer Anomalie Benachrichtigungs-E-Mails zu senden.
    3. (Nur Exchange Online) Aktivieren Sie Warning banner, um eine Warnmeldung oben im E-Mail-Text anzuzeigen, wenn Endbenutzer eine E-Mail erhalten, die durch vordefinierte Korrelationsregeln als Anomalie gekennzeichnet wurde.
      Sie können Endbenutzer auch über potenzielle Risiken informieren, ohne die Berichtsfunktionen zu aktivieren. Um diese Aktionen zu deaktivieren, deaktivieren Sie Bericht an Trend Micro senden und Bericht an Administratoren senden in AdministrationE-Mail-Berichte. Weitere Informationen finden Sie unter Berichte von E-Mail-Berichte.
      Für die Anzeige von E-Mails, die von Endbenutzern gemeldet wurden, navigieren Sie zu AktionenVom Benutzer gemeldete E-Mails. Einzelheiten dazu finden Sie unter Von Benutzern gemeldete E-Mails.
  5. Einstellungen auf der Benutzerdefinierte Correlated Intelligence-Registerkarte konfigurieren.
    1. Wählen Sie eine oder mehrere benutzerdefinierte Korrelationsregeln aus und wählen Sie dann für jede Regel eine Aktion aus.
      Zusätzlich zu den von Trend Micro vordefinierten Korrelationsregeln können Sie benutzerdefinierte Korrelationsregeln hinzufügen, um die Erkennungsanforderungen in Ihrer Umgebung zu erfüllen. Weitere Informationen finden Sie unterHinzufügen einer benutzerdefinierten Korrelationsregel .
    2. Benachrichtigung aktivieren fürCloud-App-Sicherheit um bei Erkennung einer Anomalie Benachrichtigungs-E-Mails zu senden.
  6. Einstellungen auf der Benachrichtigung & Zulässige Liste-Registerkarte konfigurieren.
    1. Konfigurieren Sie Einstellungen für die Benachrichtigung.
      Administrator benachrichtigen
      1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
      2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
      3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
        • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
        • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-App-Sicherheit sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
        • Individuelle Benachrichtigungen senden: Cloud-App-Sicherheit sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-App-Sicherheit eine Filteraktion durchführt.
      Benutzer benachrichtigen
      Geben Sie Nachrichtendetails an, die Empfänger darüber benachrichtigen, dass Cloud-App-Sicherheit ein Sicherheitsrisiko erkannt hat und Aktionen für Ihre E-Mail-Nachricht oder ihren Anhang durchgeführt hat.
    2. Klicken Sie auf die Registerkarte Genehmigte Liste und konfigurieren Sie die Liste der genehmigten Absender.
      1. Aktivieren Sie die Liste der zulässigen Absender.
      2. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domäne an, um die Correlated Intelligence-Suche zu umgehen, und klicken Sie auf Hinzufügen >.
        Hinweis
        Hinweis
        Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
        Die folgenden Formate sind ungültig: *@*, *
      3. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Chargen zu importieren, oder klicken Sie auf Exportieren, um die genehmigten Absender zu exportieren und auf Ihren lokalen Computer herunterzuladen.
  7. Klicken Sie auf Save.
    Sie können die Erkennungsergebnisse überprüfen und die Gründe für die Erkennungen erfahren auf dem Bildschirm AktionenKorrelierte Intelligenz.