Kriterien für Correlated Intelligence konfigurieren

Ansichten:

Erkennen Sie Sicherheitsrisiken und identifizieren Sie Anomalien, indem Sie Signale aus verschiedenen Quellen korrelieren.

Entwickelt, um Ihnen erweiterte Erkennungsfähigkeiten gegen ausgeklügelte Angriffe zu bieten, korreliert Correlated Intelligence verdächtige Signale aus verschiedenen Quellen, um Phishing-Sicherheitsrisiken und Anomalien zu erkennen.

Hinweis

Korrelierte Intelligenz ist nur für den eingehenden Schutz verfügbar.

Korrelierte Intelligenz sammelt Signale von der Virensuche und dem Spam-Filter.

Ein wesentlicher Vorteil der korrelierten Intelligenz ist die Fähigkeit, Signale aus mehreren Quellen zu sehen und zu analysieren, um Phishing-Sicherheitsrisiken zu identifizieren, die von einem einzelnen Sicherheitsfilter möglicherweise unbemerkt bleiben. Dieser Ansatz mit mehreren Quellen fügt eine zusätzliche Schutzschicht hinzu, um mögliche Bedrohungen zu erkennen.

Ein weiteres Highlight der Korrelativen Intelligenz ist die Fähigkeit, Sie auf Anomalien hinzuweisen, die ein oder mehrere Signale zeigen, die von normalen Verhaltensweisen abweichen. Anomalien müssen nicht unbedingt ein Sicherheitsrisiko darstellen, sind jedoch ungewöhnlich genug, um Aufmerksamkeit zu erregen. Mit dieser Funktion können Sie einen umfassenderen Überblick über Ihre Sicherheitslandschaft erhalten.

Korrellierte Intelligenz funktioniert, indem sie zunächst Erkennungssignale aus verschiedenen Sicherheitskriterien sammelt und diese Signale dann mit den vordefinierten Korrelationsregeln abgleicht. Ziel dieses Prozesses ist es, Übereinstimmungen zu identifizieren, die auf ein Phishing-Sicherheitsrisiko oder eine Anomalie hinweisen könnten, um eine gründlichere und nuanciertere Analyse potenzieller Sicherheitsbedrohungen zu ermöglichen.

Cloud Email Gateway Protection wird mit einer Reihe vordefinierter Korrelationsregeln und Erkennungssignale geliefert, um von Trend Micro spezifizierte Sicherheitsrisiken und Anomalien zu erkennen. Um Details zu den vordefinierten Korrelationsregeln, Erkennungssignalen und ihren gezielten Bedrohungsarten von Anomalien anzuzeigen, gehen Sie zum Bildschirm Administration → Policy Objects → Korrelationsregeln und Erkennungssignale. Sie können auch benutzerdefinierte Korrelationsregeln und Erkennungssignale definieren, die einzigartig und kritisch für Ihre Umgebung sind, und diese dann zu den Richtlinienregeln der Korrelierte Intelligenz hinzufügen. Dies bietet Ihnen die Flexibilität, die Korrelierte Intelligenz-Richtlinie so zu konfigurieren, dass sie Ihren tatsächlichen Anforderungen entspricht.

Prozedur

Klicken Sie auf Scanning Criteria.

Sicherheitsrisiko-Erkennungseinstellungen festlegen.

Aktivieren Sie das Kontrollkästchen Sicherheitsrisiken, um die Phishing-Erkennung durch Correlated Intelligence zu aktivieren.

Sicherheitsrisiken sind hochvertrauenswürdige Erkennungen durch korrelierte Intelligenz. Hierbei handelt es sich in der Regel um ausgeklügelte Angriffe, die mit einer einzigen Schutzschicht nur schwer zu erkennen sind. Correlated Intelligence kombiniert Signale aus verschiedenen Quellen, um fortgeschrittene Angriffe zu identifizieren, die darauf abzielen, traditionelle, schichtweise aufgebaute Verteidigungsmaßnahmen zu umgehen.

Aktivieren Sie das Kontrollkästchen, um verdächtige Dateien an den Virtual Analyzer zu übermitteln, damit diese Dateien weiter beobachtet und analysiert werden können, und wählen Sie die Sicherheitsstufe aus der Dropdown-Liste, um konfigurierte Aktionen basierend auf den Scan-Ergebnissen des Virtual Analyzers durchzuführen.

Ob eine Datei verdächtig ist, wird von der korrelierten Intelligenz basierend auf ihren Durchsuchungsergebnissen bestimmt.

Virtual Analyzer führt Beobachtungen und Analysen von Proben in einer geschlossenen Umgebung durch. Im Durchschnitt dauert es 3 Minuten, um das Risiko einer Datei zu analysieren und zu identifizieren, und bei einigen Dateien kann die Zeit bis zu 30 Minuten betragen.

Aktionen für Virtual Analyzer-Scanausnahme und !!Virtual Analyzer submission quota exception!! unter Virensuche gelten für die Correlated Intelligence-Richtlinie, wenn dieses Kontrollkästchen ausgewählt ist.

Wenn die Dateipasswortanalyse unter Virensuche aktiviert ist, werden die Analyseergebnisse von der Correlated Intelligence-Richtlinie verwendet, wenn dieses Kontrollkästchen ausgewählt ist. Wenn die Dateipasswortanalyse nicht aktiviert ist, Cloud Email Gateway Protection knackt Passwörter aus dem E-Mail-Inhalt (Betreff, Textkörper und Anhangsnamen).

Hinweis

Wenn eine berechtigte Datei in einer anderen Datei enthalten ist, wie z. B. in einer Archivdatei oder eingebettet in eine Datei, extrahiert Cloud Email Gateway Protection die Datei und übermittelt sie an den Virtual Analyzer.

Wählen Sie im Bereich Specify anomaly settings das Kontrollkästchen Pre-defined anomalies aus, um die Erkennung von von Trend Micro festgelegten Anomalien, wie Verdächtige E-Mail oder Möglicherweise Unerwünschte E-Mail, durch vordefinierte Korrelationsregeln zu aktivieren.

Wichtig

Anomalieerkennung durch Korrelationsregeln der korrelierten Intelligenz deutet nicht immer auf böswillige Aktivitäten hin; sie stimmen mit bestimmten verdächtigen Signalen überein und können in ihrer Wirksamkeit und Erwartung variieren. Wir empfehlen, zunächst Maßnahmen wie !!Tag subject!! oder Stempel in Nachrichtentext einfügen festzulegen, um die Ergebnisse zu überwachen, bevor strengere Maßnahmen ergriffen werden. Sie können auch benutzerdefinierte Korrelationsregeln erstellen und sie im Abschnitt Benutzerdefinierte Correlated Intelligence hinzufügen, um sie besser an Ihre Umgebung anzupassen.

Bestimmen Sie, ob alle oder teilweise vordefinierte Korrelationsregeln durchgesetzt werden sollen, um von Trend Micro festgelegte Anomalien verschiedener Bedrohungsarten zu erkennen.
- Alle vordefinierten Regeln
  Diese Option wird automatisch ausgewählt, wenn Sie Pre-defined anomalies auswählen.
  
  Trend Micro klassifiziert seine vordefinierten Korrelationsregeln zur Anomalieerkennung in drei aggressive Stufen: Moderate, Aggressive und Extra aggressive. Einzelheiten zu diesen Korrelationsregeln und den Szenarien, für die Korrelationsregeln jeder aggressiven Stufe geeignet sind, finden Sie unter Verwalten von Korrelationsregeln und Erkennungssignalen.
  1. Wählen Sie die Bedrohungsart der von Trend Micro angegebenen Anomalien aus, die Sie mit jedem aggressiven Niveau der Korrelationsregeln erkennen möchten.
  2. Klicken Sie auf die Ziffer neben jedem Aggressivitätsgrad, um die zugehörigen vordefinierten Korrelationsregeln im Bildschirm Korrelationsregeln und Erkennungssignale unter Administration anzuzeigen.
    
    Sie können die vordefinierten Korrelationsregeln auf dem Bildschirm auch aktivieren oder deaktivieren.
- Festgelegte vordefinierte Regeln
  Wählen Sie eine oder mehrere vordefinierte Korrelationsregeln aus und fügen Sie sie hinzu.
  
  Hinweis
  
  Deaktivierte Korrelationsregeln können ausgewählt werden, gelten jedoch nicht während des DURCHSUCHENS.
Aktivieren Sie das Kontrollkästchen Benutzerdefinierte Correlated Intelligence, um die Anomalieerkennung durch benutzerdefinierte Korrelationsregeln, die Sie für Ihre Umgebung erstellt haben, zu aktivieren.
Wählen Sie eine oder mehrere benutzerdefinierte Korrelationsregeln aus und fügen Sie diese hinzu.

Hinweis

Deaktivierte Korrelationsregeln können ausgewählt werden, gelten jedoch nicht während des DURCHSUCHENS.

Durch Klicken auf die Ziffer neben Benutzerdefinierte Correlated Intelligence wird der Bildschirm Korrelationsregeln und Erkennungssignale unter Administration geöffnet, wo Sie alle vorhandenen Korrelationsregeln anzeigen und neue Korrelationsregeln hinzufügen können.