Ansichten:
Server- und Workload Protection ermöglicht es Ihnen, Tags zu erstellen, die Sie zur Identifizierung und Sortierung von Ereignissen verwenden können. Zum Beispiel könnten Sie Tags verwenden, um Ereignisse, die harmlos sind, von denen zu trennen, die eine weitere Untersuchung erfordern. Sie können Tags verwenden, um angepasste Dashboards and Reports zu erstellen.
Obwohl Sie die Ereigniskennzeichnung für verschiedene Zwecke verwenden können, wurde sie entwickelt, um die Last des Ereignismanagements zu erleichtern. Nachdem Sie ein Ereignis analysiert und festgestellt haben, dass es harmlos ist, können Sie die Ereignisprotokolle des Computers (und aller anderen ähnlich konfigurierten und beauftragten Computer) durchsuchen, um ähnliche Ereignisse zu finden und das gleiche Label darauf anzuwenden, wodurch die Notwendigkeit entfällt, jedes Ereignis einzeln zu analysieren.
Um die derzeit verwendeten Tags anzuzeigen, gehen Sie zu RichtlinienCommon ObjectsSonstigeTags.
Hinweis
Hinweis
Tags ändern die Daten in den Ereignissen selbst nicht und ermöglichen es den Benutzern auch nicht, Ereignisse zu löschen. Sie sind einfach zusätzliche Attribute, die von Server- und Workload Protection bereitgestellt werden.
Sie können das Tagging auf folgende Weise durchführen:
  • Manuelles Tagging ermöglicht es Ihnen, bestimmte Ereignisse nach Bedarf zu taggen.
  • Auto-Tagging ermöglicht es Ihnen, ein bestehendes Ereignis als Modell für das automatische Tagging ähnlicher Ereignisse auf demselben oder anderen Computern zu verwenden. Sie definieren die Parameter für die "Ähnlichkeit", indem Sie auswählen, welche Ereignisattribute mit den Modellereignisattributen übereinstimmen müssen, damit ein Tag angewendet wird.
  • Vertrauenswürdige Quellenmarkierung ermöglicht es Ihnen, Integritätsüberwachungsereignisse automatisch zu markieren, basierend auf ihrer Ähnlichkeit mit bekannten, guten Ereignissen aus einer vertrauenswürdigen Quelle.
Hinweis
Hinweis
Ein wichtiger Unterschied zwischen der Standard-Taggierung und der Taggierung vertrauenswürdiger Quellen besteht darin, dass "Jetzt auf vorhandenen Ereignissen ausführen" nur mit der Standard-Ereignis-Taggierung durchgeführt werden kann.

Manuelle Kennzeichnung Übergeordnetes Thema

Prozedur

  1. Gehen Sie zu Events & ReportsEreignisse und wählen Sie eine Ereignisliste aus. Klicken Sie mit der rechten Maustaste auf das Ereignis (oder wählen Sie mehrere Ereignisse aus und klicken Sie mit der rechten Maustaste) und wählen Sie Add Tag(s).
  2. Geben Sie einen Namen für das Tag ein. Server- und Workload Protection wird beim Tippen passende Namen vorhandener Tags vorschlagen.
  3. Wählen Sie The Selected [Event Type] Event. Klicken Sie auf Weiter.
  4. Geben Sie einige optionale Kommentare ein und klicken Sie auf Fertig stellen.

Nächste Schritte

In der Ereignisliste können Sie Ihr Tag in der Spalte TAG(S) sehen.

Automatische Kennzeichnung Übergeordnetes Thema

Server- und Workload Protection ermöglicht es Ihnen, Regeln zu definieren, die automatisch das gleiche Tag auf ähnliche Ereignisse anwenden. Um vorhandene gespeicherte Auto-Tagging-Regeln anzuzeigen, klicken Sie im Menüband auf Auto-Tagging auf einer beliebigen Ereignisse-Seite. Sie können gespeicherte Regeln manuell von dieser Seite ausführen.

Prozedur

  1. Gehen Sie zu Events & ReportsEreignisse und wählen Sie eine Ereignisliste aus. Klicken Sie mit der rechten Maustaste auf ein repräsentatives Ereignis und wählen Sie Add Tag(s) aus.
  2. Geben Sie einen Namen für das Tag ein. Server- und Workload Protection wird beim Tippen passende Namen vorhandener Tags vorschlagen.
  3. Wählen Sie Apply to selected and similar [Event Type] Events und klicken Sie auf Weiter.
  4. Wählen Sie die Computer aus, bei denen Sie Ereignisse automatisch taggen möchten, und klicken Sie auf Weiter. Beim Anwenden von Tags auf Systemereignisse wird diese Seite übersprungen.
  5. Wählen Sie aus, welche Attribute untersucht werden sollen, um festzustellen, ob Ereignisse ähnlich sind. Im Wesentlichen entsprechen die Attributoptionen den Informationen, die in den Spalten der Ereignisse-Listen angezeigt werden. Nachdem Sie ausgewählt haben, welche Attribute in den Ereignisauswahlprozess einbezogen werden sollen, klicken Sie auf Weiter.
  6. Auf der nächsten Seite geben Sie an, wann Ereignisse markiert werden sollen. Wenn Sie Existing [Event Type] Events auswählen, können Sie Apply Auto-Tag Rule now auswählen, um die automatische Markierungsregel sofort anzuwenden, oder Apply Auto-Tag Rule in the background, um sie im Hintergrund mit niedrigerer Priorität auszuführen. Wählen Sie Future [Event Type] Events, um die automatische Markierungsregel auf zukünftige Ereignisse anzuwenden. Sie können die automatische Markierungsregel auch speichern, indem Sie Save Auto-Tag Rule auswählen und optional einen Namen eingeben. Klicken Sie auf Weiter.
  7. Überprüfen Sie die Zusammenfassung Ihrer automatischen Tagging-Regel und klicken Sie auf Fertig stellen.

Nächste Schritte

In der Ereignisliste können Sie sehen, dass Ihr ursprüngliches Ereignis und alle ähnlichen Ereignisse markiert wurden
Hinweis
Hinweis
Ereignis-Tagging erfolgt erst, nachdem die Ereignisse von den Agenten in die Server- und Workload Protection-Datenbank abgerufen wurden.

Legen Sie die Priorität für eine automatische Tagging-Regel fest Übergeordnetes Thema

Sobald eine Auto-Tagging-Regel erstellt wurde, können Sie ihr einen Precedence-Wert zuweisen. Wenn die Auto-Tagging-Regel so konfiguriert wurde, dass sie bei zukünftigen Ereignissen ausgeführt wird, bestimmt die Priorität der Regel die Reihenfolge, in der alle Auto-Tagging-Regeln auf eingehende Ereignisse angewendet werden. Zum Beispiel können Sie eine Regel mit einem Prioritätswert von "1" haben, die alle "Benutzer hat sich angemeldet"-Ereignisse als "Verdächtig" markiert, und eine Regel mit einem Prioritätswert von "2", die das "Verdächtig"-Tag von allen "Benutzer hat sich angemeldet"-Ereignissen entfernt, bei denen das Ziel (Benutzer) Sie sind. Dies führt dazu, dass ein "Verdächtig"-Tag auf alle zukünftigen "Benutzer hat sich angemeldet"-Ereignisse angewendet wird, bei denen der Benutzer nicht Sie sind.

Prozedur

  1. Klicken Sie in einer Ereignisliste auf Auto-Tagging, um eine Liste der gespeicherten automatischen Tagging-Regeln anzuzeigen.
  2. Klicken Sie mit der rechten Maustaste auf eine automatische Tagging-Regel und wählen Sie Details aus.
  3. Wählen Sie im Allgemein-Tab ein Precedence für die Regel aus.

Nächste Schritte

Automatische Kennzeichnung von Protokollinspektionsereignissen Übergeordnetes Thema

Protokollinspektionsereignisse werden automatisch basierend auf ihrer Gruppierung in der Protokolldateistruktur getaggt. Dies vereinfacht und automatisiert die Verarbeitung von Protokollinspektionsereignissen innerhalb Server- und Workload Protection. Sie können die automatische Tagging-Funktion verwenden, um Tags für die Protokollinspektionsgruppen automatisch anzuwenden. Protokollinspektionsregeln haben Gruppen, die in den Regeln mit ihnen verknüpft sind. Zum Beispiel:
	<rule id="18126" level="3"> <if_sid>18101</if_sid> <id>^20158</id> <description>Remote access login success</description> <group>authentication_success,</group> </rule> <rule id="18127" level="8"> <if_sid>18104</if_sid> <id>^646|^647</id> <description>Computer account changed/deleted</description><group>account_changed,</group> </rule>
Jedem Gruppennamen ist eine "freundliche" Namenszeichenfolge zugeordnet. Im obigen Beispiel wäre "authentication_success" "Authentifizierung erfolgreich", "account_changed" wäre "Konto geändert". Wenn dieses Kontrollkästchen aktiviert ist, werden die freundlichen Namen automatisch als Tag für dieses Ereignis hinzugefügt. Wenn mehrere Regeln ausgelöst werden, werden dem Ereignis mehrere Tags angehängt.

Vertrauenswürdige Quellenkennzeichnung Übergeordnetes Thema

Hinweis
Hinweis
Das Taggen von Ereignissen aus vertrauenswürdigen Quellen kann nur mit Ereignissen verwendet werden, die vom Schutzmodul für Integritätsüberwachung generiert wurden.
Hinweis
Hinweis
Für Kunden, die am oder nach dem 12. Juli 2021 abonniert haben und Version 20.0.0-2593+ Agents verwenden, ist die Trusted Common Baseline nicht mehr verfügbar. Für Kunden, die vor dem 12. Juli 2021 abonniert haben, wird die Schaltfläche bis zum 1. Januar 2022 verfügbar sein. Ereignisse, die vor dem 12. Juli 2021 markiert wurden, behalten ihre Markierungen, aber neue Integritätsüberwachungsereignisse müssen mit anderen Methoden markiert werden.
Weitere Informationen finden Sie unter Entfernung der Option "Trusted Common Baseline" aus den Auto-Tag-Regeln der Integritätsüberwachung von Server- und Workload Protection.
Das Integritätsüberwachungsmodul ermöglicht es Ihnen, Systemkomponenten und zugehörige Attribute auf einem Computer auf Änderungen zu überwachen. ("Änderungen" umfassen Erstellung, Löschung sowie Bearbeitungen.) Zu den Komponenten, die Sie auf Änderungen überwachen können, gehören Dateien, Verzeichnisse, Gruppen, installierte Software, abhörende Portnummern, Prozesse, Registrierungsschlüssel und so weiter.
Das Tagging von Ereignissen aus vertrauenswürdigen Quellen ist darauf ausgelegt, die Anzahl der zu analysierenden Ereignisse zu reduzieren, indem automatisch Ereignisse identifiziert werden, die mit autorisierten Änderungen verbunden sind.
Zusätzlich zur automatischen Markierung ähnlicher Ereignisse ermöglicht das Integritätsüberwachungsmodul das Markieren von Ereignissen basierend auf ihrer Ähnlichkeit zu Ereignissen und Daten, die auf Trusted Sources gefunden wurden. Eine vertrauenswürdige Quelle kann sein:
  • Ein local trusted computer,
  • Der Trend Micro Certified Safe Software Service
  • Ein trusted common baseline, das eine Sammlung von Dateizuständen von einer Gruppe von Computern ist.

Lokaler vertrauenswürdiger Computer Übergeordnetes Thema

Ein vertrauenswürdiger Computer ist ein Computer, der als "Modell"-Computer verwendet wird, von dem Sie wissen, dass er nur harmlose oder ungefährliche Ereignisse erzeugt. Ein "Ziel"-Computer ist ein Computer, den Sie auf unautorisierte oder unerwartete Änderungen überwachen. Die automatische Tagging-Regel untersucht Ereignisse auf Ziel-Computern und vergleicht sie mit Ereignissen vom vertrauenswürdigen Computer. Wenn Ereignisse übereinstimmen, werden sie mit dem in der automatischen Tagging-Regel definierten Tag versehen.
Sie können Regeln für die automatische Kennzeichnung erstellen, die Ereignisse auf geschützten Computern mit Ereignissen auf einem vertrauenswürdigen Computer vergleichen. Zum Beispiel kann ein geplanter Rollout eines Patches auf den vertrauenswürdigen Computer angewendet werden. Die mit der Anwendung des Patches verbundenen Ereignisse können als "Patch X" gekennzeichnet werden. Ähnliche Ereignisse, die auf anderen Systemen auftreten, können automatisch gekennzeichnet und als akzeptable Änderungen identifiziert und herausgefiltert werden, um die Anzahl der zu bewertenden Ereignisse zu reduzieren.

Wie bestimmt Server- und Workload Protection, ob ein Ereignis auf einem Zielcomputer mit einem Ereignis auf einem vertrauenswürdigen Quellcomputer übereinstimmt? Übergeordnetes Thema

Integritätsüberwachungsereignisse enthalten Informationen über Übergänge von einem Zustand in einen anderen. Mit anderen Worten, Ereignisse enthalten vorher und nachher Informationen. Beim Vergleich von Ereignissen sucht die Auto-Tagging-Engine nach übereinstimmenden vorher- und nachher-Zuständen; wenn die beiden Ereignisse denselben vorher- und nachher-Zustand aufweisen, werden die Ereignisse als übereinstimmend beurteilt und ein Tag wird auf das zweite Ereignis angewendet. Dies gilt auch für Erstellungs- und Löschereignisse.
Hinweis
Hinweis
Denken Sie daran, dass bei der Verwendung eines vertrauenswürdigen Computers für die Ereigniskennzeichnung aus vertrauenswürdigen Quellen die gekennzeichneten Ereignisse Ereignisse sind, die durch Integritätsüberwachungsregeln generiert werden. Das bedeutet, dass die Integritätsüberwachungsregeln, die Ereignisse auf dem Zielcomputer generieren, auch auf dem vertrauenswürdigen Quellcomputer ausgeführt werden müssen.
Hinweis
Hinweis
Vertrauenswürdige Quellcomputer müssen auf Malware überprüft werden, bevor das Tagging von vertrauenswürdigen Quellereignissen angewendet wird.
Hinweis
Hinweis
Dienstprogramme, die regelmäßig Änderungen am Inhalt von Dateien auf einem System vornehmen (zum Beispiel Prelinking unter Linux), können die Ereigniskennzeichnung aus vertrauenswürdigen Quellen beeinträchtigen.

Ereignisse basierend auf einem lokalen vertrauenswürdigen Computer kennzeichnen Übergeordnetes Thema

Prozedur

  1. Stellen Sie sicher, dass der vertrauenswürdige Computer frei von Malware ist, indem Sie eine vollständige Malware-Suche durchführen.
  2. Stellen Sie sicher, dass die Computer, auf denen Sie Ereignisse automatisch kennzeichnen möchten, dieselben (oder einige der gleichen) Integritätsüberwachungsregeln wie der vertrauenswürdige Quellcomputer ausführen.
  3. Gehen Sie in der Server- und Workload Protection-Konsole zu Events & ReportsIntegrity Monitoring Events und klicken Sie in der Symbolleiste auf Auto-Tagging.
  4. Klicken Sie im Fenster Auto-Tag Rules (Integrity Monitoring Events) auf New Trusted Source, um Tag Wizard anzuzeigen.
  5. Wählen Sie Local Trusted Computer und klicken Sie auf Weiter.
  6. Wählen Sie aus der Liste den Computer aus, der die vertrauenswürdige Quelle sein soll, und klicken Sie auf Weiter.
  7. Geben Sie ein oder mehrere Tags an, die auf Ereignisse auf Zielcomputern angewendet werden sollen, wenn sie mit Ereignissen auf diesem vertrauenswürdigen Quellcomputer übereinstimmen. Klicken Sie auf Weiter.
    Hinweis
    Hinweis
    Sie können den Text für ein neues Tag eingeben oder aus einer Liste vorhandener Tags auswählen.
  8. Identifizieren Sie die Zielcomputer, deren Ereignisse mit denen der vertrauenswürdigen Quelle abgeglichen werden. Klicken Sie auf Weiter.
  9. Optional können Sie der Regel einen Namen geben und auf Fertig stellen klicken.

Nächste Schritte

Ereignisse basierend auf dem Trend Micro Certified Safe Software Service kennzeichnen Übergeordnetes Thema

Der Certified Safe Software Service ist eine Liste bekannter, guter Dateisignaturen, die von Trend Micro gepflegt wird. Diese Art der vertrauenswürdigen Quellmarkierung überwacht Zielcomputer auf dateibezogene Integritätsüberwachungsereignisse. Wenn ein Ereignis aufgezeichnet wurde, wird die Signatur der Datei (nach der Änderung) mit der Liste der bekannten guten Dateisignaturen von Trend Micro verglichen. Wenn eine Übereinstimmung gefunden wird, wird das Ereignis markiert.

Prozedur

  1. Gehen Sie in der Server- und Workload Protection-Konsole zu Events & ReportsIntegrity Monitoring Events und klicken Sie in der Symbolleiste auf Auto-Tagging.
  2. Klicken Sie im Fenster Auto-Tag Rules (Integrity Monitoring Events) auf New Trusted Source, um Tag Wizard anzuzeigen.
  3. Wählen Sie Certified Safe Software Service und klicken Sie auf Weiter.
  4. Geben Sie ein oder mehrere Tags an, die auf Ereignisse auf Zielcomputern angewendet werden sollen, wenn sie mit dem Certified Safe Software Service übereinstimmen. Klicken Sie auf Weiter.
  5. Identifizieren Sie die Zielcomputer, deren Ereignisse mit dem Certified Safe Software Service abgeglichen werden. Klicken Sie auf Weiter.
  6. Optional können Sie der Regel einen Namen geben und auf Fertig stellen klicken.

Nächste Schritte

Ereignisse basierend auf einer vertrauenswürdigen gemeinsamen Basis kennzeichnen Übergeordnetes Thema

Die vertrauenswürdige gemeinsame Basismethode vergleicht Ereignisse innerhalb einer Gruppe von Computern. Eine Gruppe von Computern wird identifiziert und eine gemeinsame Basislinie wird basierend auf den Dateien und Systemzuständen erstellt, die von den auf den Computern in der Gruppe geltenden Integritätsüberwachungsregeln anvisiert werden. Wenn ein Integritätsüberwachungsereignis auf einem Computer innerhalb der Gruppe auftritt, wird die Signatur der Datei nach der Änderung mit der gemeinsamen Basislinie verglichen. Wenn die neue Signatur der Datei an anderer Stelle in der gemeinsamen Basislinie übereinstimmt, wird dem Ereignis ein Tag zugewiesen. Bei der vertrauenswürdigen Computermethode werden die Vorher- und Nachher-Zustände eines Integritätsüberwachungsereignisses verglichen, aber bei der vertrauenswürdigen gemeinsamen Basismethode wird nur der Nachher-Zustand verglichen.
Hinweis
Hinweis
Diese Methode setzt voraus, dass alle Computer in der gemeinsamen Gruppe sicher und frei von Malware sind. Eine vollständige Malware-Suche sollte auf allen Computern in der Gruppe durchgeführt werden, bevor die gemeinsame Basislinie erstellt wird.
Hinweis
Hinweis
Wenn ein Integritätsüberwachungs-Baseline für einen Computer erstellt wird, überprüft Server- und Workload Protection zunächst, ob dieser Computer Teil einer vertrauenswürdigen gemeinsamen Baseline-Gruppe ist. Falls ja, wird die Baseline-Daten des Computers in die vertrauenswürdige gemeinsame Baseline für diese Gruppe aufgenommen. Aus diesem Grund muss die Regel zur automatischen Kennzeichnung der vertrauenswürdigen gemeinsamen Baseline vorhanden sein, bevor Integritätsüberwachungsregeln auf die Computer in der gemeinsamen Baseline-Gruppe angewendet werden.

Prozedur

  1. Stellen Sie sicher, dass alle Computer, die zur Gruppe gehören, die die vertrauenswürdige gemeinsame Basis bilden wird, frei von Malware sind, indem Sie eine vollständige Malware-Suche auf ihnen durchführen.
  2. Gehen Sie in der Server- und Workload Protection-Konsole zu Events & ReportsIntegrity Monitoring Events und klicken Sie in der Symbolleiste auf Auto-Tagging.
  3. Klicken Sie im Fenster Auto-Tag Rules (Integrity Monitoring Events) auf New Trusted Source, um Tag Wizard anzuzeigen.
  4. Wählen Sie Trusted Common Baseline und klicken Sie auf Weiter.
  5. Geben Sie ein oder mehrere Tags an, die auf Ereignisse angewendet werden sollen, wenn sie mit der vertrauenswürdigen gemeinsamen Basis übereinstimmen, und klicken Sie auf Weiter.
  6. Identifizieren Sie die Computer, die in die Gruppe aufgenommen werden sollen, um die vertrauenswürdige gemeinsame Basis zu erstellen. Klicken Sie auf Weiter.
  7. Optional, geben Sie dieser Regel einen Namen und klicken Sie auf Fertig stellen.

Nächste Schritte

Tag löschen Übergeordnetes Thema

Prozedur

  1. Klicken Sie in einer Ereignisliste mit der rechten Maustaste auf die Ereignisse mit dem Tag, das Sie löschen möchten, und wählen Sie Remove Tag(s) aus.
  2. Wählen Sie das Tag aus, das Sie entfernen möchten. Entscheiden Sie sich, das Tag von The Selected [Event Type] Event zu entfernen oder zu Apply to selected similar [Event Type] Events.. Klicken Sie auf Weiter.
  3. Geben Sie einige optionale Kommentare ein und klicken Sie auf Fertig stellen.

Nächste Schritte