Kriterien für Correlated Intelligence konfigurieren

Ansichten:

Erkennen Sie Sicherheitsrisiken und identifizieren Sie Anomalien, indem Sie Signale aus verschiedenen Quellen korrelieren und die agentengesteuerte KI-gestützte Erkennung nutzen.

Entwickelt, um Ihnen erweiterte Erkennungsfähigkeiten gegen ausgeklügelte Angriffe zu bieten, korreliert Correlated Intelligence verdächtige Signale aus verschiedenen Quellen, um Sicherheitsrisiken und Anomalien zu erkennen.

Hinweis

Korrelierte Intelligenz ist nur für den eingehenden Schutz verfügbar.

Korrelierte Intelligenz sammelt Signale von der Virensuche und dem Spam-Filter.

Ein wesentlicher Vorteil der korrelierten Intelligenz ist die Fähigkeit, Signale aus mehreren Quellen zu sehen und zu analysieren, um Sicherheitsrisiken zu identifizieren, die von einem einzelnen Sicherheitsfilter möglicherweise übersehen werden. Dieser Multi-Quellen-Ansatz fügt eine zusätzliche Schutzschicht hinzu, um potenzielle Bedrohungen zu erkennen.

Ein weiteres Highlight der Korrelativen Intelligenz ist die Fähigkeit, Sie auf Anomalien hinzuweisen, die ein oder mehrere Signale zeigen, die von normalen Verhaltensweisen abweichen. Anomalien müssen nicht unbedingt ein Sicherheitsrisiko darstellen, sind jedoch ungewöhnlich genug, um Aufmerksamkeit zu erregen. Mit dieser Funktion können Sie einen umfassenderen Überblick über Ihre Sicherheitslandschaft erhalten.

Korrellierte Intelligenz funktioniert, indem sie zunächst Erkennungssignale aus verschiedenen Sicherheitskriterien sammelt und diese Signale dann mit den vordefinierten Korrelationsregeln abgleicht. Ziel dieses Prozesses ist es, Übereinstimmungen zu identifizieren, die auf ein Sicherheitsrisiko oder eine Anomalie hinweisen könnten, um eine gründlichere und nuanciertere Analyse potenzieller Sicherheitsbedrohungen zu ermöglichen.

Die agentengesteuerte KI-gestützte Erkennung fügt der korrelierten Intelligenz eine weitere Intelligenzschicht hinzu. Sie verwendet Korrelationsregeln zusammen mit KI-gesteuerter Analyse, um Sicherheitsrisiken, einschließlich Phishing und Spam, effektiver zu erkennen.

Hinweis

Agentic KI-gestützte Erkennung befindet sich in der privaten Vorschau. Wenn Sie auf diese Funktion zugreifen möchten, bevor sie in die öffentliche Vorschau geht oder offiziell veröffentlicht wird, wenden Sie sich an Ihren Vertriebsmitarbeiter.
Diese Funktion ist nur verfügbar, nachdem Ihr Trend Micro Email Security auf Cloud Email Gateway Protection in Trend Vision One aktualisiert wurde.

Cloud Email Gateway Protection wird mit einer Reihe vordefinierter Korrelationsregeln und Erkennungssignale geliefert, um von Trend Micro spezifizierte Sicherheitsrisiken und Anomalien zu erkennen. Um Details zu den vordefinierten Korrelationsregeln, Erkennungssignalen und ihren gezielten Bedrohungsarten von Anomalien anzuzeigen, gehen Sie zum Bildschirm Administration → Policy Objects → Korrelationsregeln und Erkennungssignale. Sie können auch benutzerdefinierte Korrelationsregeln und Erkennungssignale definieren, die einzigartig und kritisch für Ihre Umgebung sind, und diese dann zu den Richtlinienregeln der Korrelierte Intelligenz hinzufügen. Dies bietet Ihnen die Flexibilität, die Korrelierte Intelligenz-Richtlinie so zu konfigurieren, dass sie Ihren tatsächlichen Anforderungen entspricht.

Prozedur

Klicken Sie auf Scanning Criteria.
Allgemeine Einstellungen angeben.

Wählen Sie Enhance with Agentic AI detection.

Diese Option aktiviert das Agentic KI-gestützte Erkennungsmodell in Correlated Intelligence, um Spam und mehr Phishing-E-Mails zu erkennen.

Hinweis

Derzeit gilt die von Agentic KI-gestützte Erkennung nur für Sicherheitsrisiken.

Sicherheitsrisiko-Erkennungseinstellungen festlegen.

Sicherheitsrisiken sind hochvertrauenswürdige Erkennungen durch korrelierte Intelligenz. Hierbei handelt es sich in der Regel um ausgeklügelte Angriffe, die mit einer einzigen Schutzschicht nur schwer zu erkennen sind. Correlated Intelligence kombiniert Signale aus verschiedenen Quellen, um fortgeschrittene Angriffe zu identifizieren, die darauf abzielen, traditionelle, schichtweise aufgebaute Verteidigungsmaßnahmen zu umgehen.

Wählen Sie das Kontrollkästchen Phishing und/oder Spam, um die Phishing-/Spam-Erkennung durch Correlated Intelligence zu aktivieren.

Aktivieren Sie das Kontrollkästchen, um verdächtige Dateien an den Virtual Analyzer zu übermitteln, damit diese Dateien weiter beobachtet und analysiert werden können, und wählen Sie die Sicherheitsstufe aus der Dropdown-Liste, um konfigurierte Aktionen basierend auf den Scan-Ergebnissen des Virtual Analyzers durchzuführen.

Ob eine Datei verdächtig ist, wird von der korrelierten Intelligenz basierend auf ihren Durchsuchungsergebnissen bestimmt.

Virtual Analyzer führt Beobachtungen und Analysen von Proben in einer geschlossenen Umgebung durch. Im Durchschnitt dauert es 3 Minuten, um das Risiko einer Datei zu analysieren und zu identifizieren, und bei einigen Dateien kann die Zeit bis zu 30 Minuten betragen.

Aktionen für Virtual Analyzer-Scanausnahme und !!Virtual Analyzer submission quota exception!! unter Virensuche gelten für die Correlated Intelligence-Richtlinie, wenn dieses Kontrollkästchen ausgewählt ist.

Wenn die Dateipasswortanalyse unter Virensuche aktiviert ist, werden die Analyseergebnisse von der Correlated Intelligence-Richtlinie verwendet, wenn dieses Kontrollkästchen ausgewählt ist. Wenn die Dateipasswortanalyse nicht aktiviert ist, Cloud Email Gateway Protection knackt Passwörter aus dem E-Mail-Inhalt (Betreff, Textkörper und Anhangsnamen).

Hinweis

Wenn eine berechtigte Datei in einer anderen Datei enthalten ist, wie z. B. in einer Archivdatei oder eingebettet in eine Datei, extrahiert Cloud Email Gateway Protection die Datei und übermittelt sie an den Virtual Analyzer.

Wählen Sie im Bereich Specify anomaly settings das Kontrollkästchen Pre-defined anomalies aus, um die Erkennung von von Trend Micro festgelegten Anomalien, wie Verdächtige E-Mail oder Möglicherweise Unerwünschte E-Mail, durch vordefinierte Korrelationsregeln zu aktivieren.

Wichtig

Anomalieerkennung durch Korrelationsregeln der korrelierten Intelligenz deutet nicht immer auf böswillige Aktivitäten hin; sie stimmen mit bestimmten verdächtigen Signalen überein und können in ihrer Wirksamkeit und Erwartung variieren. Wir empfehlen, zunächst Maßnahmen wie !!Tag subject!! oder Stempel in Nachrichtentext einfügen festzulegen, um die Ergebnisse zu überwachen, bevor strengere Maßnahmen ergriffen werden. Sie können auch benutzerdefinierte Korrelationsregeln erstellen und sie im Abschnitt Benutzerdefinierte Correlated Intelligence hinzufügen, um sie besser an Ihre Umgebung anzupassen.

Bestimmen Sie, ob alle oder teilweise vordefinierte Korrelationsregeln durchgesetzt werden sollen, um von Trend Micro festgelegte Anomalien verschiedener Bedrohungsarten zu erkennen.
- Alle vordefinierten Regeln
  Diese Option wird automatisch ausgewählt, wenn Sie Pre-defined anomalies auswählen.
  
  Trend Micro klassifiziert seine vordefinierten Korrelationsregeln zur Anomalieerkennung in drei aggressive Stufen: Moderate, Aggressive und Extra aggressive. Einzelheiten zu diesen Korrelationsregeln und den Szenarien, für die Korrelationsregeln jeder aggressiven Stufe geeignet sind, finden Sie unter Verwalten Sie Korrelationsregeln und Erkennungssignale.
  1. Wählen Sie die Bedrohungsart der von Trend Micro angegebenen Anomalien aus, die Sie mit jedem aggressiven Niveau der Korrelationsregeln erkennen möchten.
  2. Klicken Sie auf die Ziffer neben jedem Aggressivitätsgrad, um die zugehörigen vordefinierten Korrelationsregeln im Bildschirm Korrelationsregeln und Erkennungssignale unter Administration anzuzeigen.
    
    Sie können die vordefinierten Korrelationsregeln auf dem Bildschirm auch aktivieren oder deaktivieren.
- Festgelegte vordefinierte Regeln
  Wählen Sie eine oder mehrere vordefinierte Korrelationsregeln aus und fügen Sie sie hinzu.
  
  Hinweis
  
  Deaktivierte Korrelationsregeln können ausgewählt werden, gelten jedoch nicht während des DURCHSUCHENS.
Aktivieren Sie das Kontrollkästchen Benutzerdefinierte Correlated Intelligence, um die Anomalieerkennung durch benutzerdefinierte Korrelationsregeln, die Sie für Ihre Umgebung erstellt haben, zu aktivieren.
Wählen Sie eine oder mehrere benutzerdefinierte Korrelationsregeln aus und fügen Sie diese hinzu.

Hinweis

Deaktivierte Korrelationsregeln können ausgewählt werden, gelten jedoch nicht während des DURCHSUCHENS.

Durch Klicken auf die Ziffer neben Benutzerdefinierte Correlated Intelligence wird der Bildschirm Korrelationsregeln und Erkennungssignale unter Administration geöffnet, wo Sie alle vorhandenen Korrelationsregeln anzeigen und neue Korrelationsregeln hinzufügen können.